セキュリティ運用 (SecOps) の機能
クラウド セキュリティ運用 (SecOps) 機能の主な目的は、企業資産に対するアクティブな攻撃を検出し、対応、復旧することです。
SecOps が成熟するにつれて、セキュリティ運用は以下を行う必要があります。
- ツールによって検出された攻撃にリアクティブに対応します
- 過去のリアクティブな検出から漏れた攻撃を事前に発見します
最新化
脅威の検出と対応については、現在、あらゆるレベルで重要な近代化が行われています。
- ビジネス リスク管理への昇格: SOC は、組織のビジネ スリスク管理の重要なコンポーネントになっています。
- メトリックと目標: SOC の有効性の追跡は、"検出までの時間" から次の主要な指標に進化しています。
- 平均応答時間 (MTTA) による応答性。
- 平均修復時間 (MTTR) による修復速度。
- テクノロジの進化: SOC テクノロジは、SIEM 内のログの静的分析だけの使用から、特殊なツールや高度な分析手法の使用の追加へと、発展しています。 これにより、SIEM の広範なビューを補完する高品質のアラートと調査エクスペリエンスを提供する、資産に関する深い分析情報が得られます。 どちらの種類のツールでも、悪意のある攻撃者である可能性がある異常なアクションの特定と優先順位付けのために、AI と機械学習、動作分析、統合脅威インテリジェンスがますます使用されるようになっています。
- 脅威ハンティング: SOC では、高度な攻撃者を事前に特定し、最前線のアナリストのキューから雑音の多いアラートを除くために、仮説主導の脅威ハンティングが追加されています。
- インシデント管理: 法律、コミュニケーション、およびその他のチームでインシデントの非技術的要素を調整するため、規範が形式化されています。 内部コンテキストの統合: ユーザー アカウントとデバイスの相対的なリスク スコア、データとアプリケーションの機密性、およびしっかり防御するための主要なセキュリティ分離境界などの SOC アクティビティの優先順位付けのため。
詳細については、次を参照してください。
- セキュリティ運用の規範
- セキュリティ運用のベス トプラクティスに関するビデオとスライド
- CISO ワークショップ モジュール 4b: 脅威防止戦略
- サイバー防御オペレーション センター (CDOC) ブログ シリーズ パート 1、パート 2a、パート 2b、パート 3a、パート 3b、パート 3c、パート 3d
- NIST コンピューター セキュリティ インシデント処理ガイド
- サイバーセキュリティ イベント復旧のための NIST ガイド
チームの構成と重要な関係
クラウド セキュリティ オペレーション センターは、通常、次の種類の役割で構成されています。
- IT 運用 (常に緊密に連絡)
- 脅威インテリジェンス
- セキュリティのアーキテクチャ
- インサイダー リスク プログラム
- 法務と人事
- コミュニケーション チーム
- リスク組織 (存在する場合)
- 業界固有の関連、コミュニティ、およびベンダー (インシデント発生前)
次のステップ
セキュリティ アーキテクチャの機能を確認します。