ساختار و وظایف مرکز عملیات امنیت (SOC)

رخدادهای جمع آوری شده توسط تحلیگر SOC، مورد تحلیل قرار می گیرد و پس از بررسی همبستگی بین رخدادها، حملات و تهدیدهای امنیتی زیرساخت اطلاعاتی مربوطه به صورت رویداد اعلام می شود.
تحلیلگر SOC جهت تحلیل و تشخیص همبستگی مابین رخدادها از دانش ذخیره شده در پایگاه دانش مرکز عملیات امنیت بهره می برد. معیار اصلی کشف حملات و تهدیدها، اطلاعات پایگاه دانش است. اطلاعات مربوط به آسیب پذیری های سامانه، سیاست های امنیتی تعریف شده و همچنین وضعیت  فعلی سامانه ها از اطلاعات مهم ذخیره شده در پایگاه دانش است که توسط واحدی در SOC به طور مرتب بروز می شود.
در بالاترین لایه مرکز عملیات امنیت که کاربر SOC با آن سروکار دارد، پورتال و کنسول قرار دارد. پورتال بصورت داشبورد SOC عمل کرده و امکان مشاهده و مرور وضعیت امنیتی زیرساخت اطلاعاتی بصورت گرافیکی، تهیه انواع مختلفی از گزارش ها و همچنین تنظیم مولفه های SOC را فراهم می سازد.
عملکرد و وظایف هر یک از بخش های اصلی سامانه SOC بصورت زیر می باشد:
  • حسگرها
حسگرها در SOC منابع جمع آوری رخدادهای امنیتی هستند. از جمله حسگرهای مهم و معمول جهت جمع آوری رخدادها می توان به IDS ها، IPS  ها، فایروال ها، تجهیزات شبکه شامل سوئیچ ها و مسیریاب ها، سیستم عامل ها، سرویس های اینترنت و ضدبدافزارها اشاره کرد.
  • واحد تجمع رخدادها
جمع آوری رخدادهای امنیتی از حسگرها توسط این واحد انجام می شود. این واحد رخدادها را از منابع مختلف و با استفاده از روش های پروتکل های مربوطه جمع آوری و پس از انجام عمل پیش پردازش و پایش، آن ها را در بانک اطلاعاتی رخدادها ذخیره می کند. از آنجا که رخدادهای مربوط به حسگرهای مختلف دارای قالب های متفاوتی هستند، قبل از ذخیره شدن توسط واحد تجمیع رخدادها به قالب یکسانی تبدیل می شوند.
  • واحد تحلیل و تشخیص همبستگی رخدادها

این واحد در مرکز عملیات امنیت، وظیفه تحلیل رخدادهای جمع آوری شده از سراسر زیرساخت اطلاعاتی را بر عهده دارد. تحلیل رخدادها به منظور کشف تهدیدها، براساس اطلاعاتی است که در پایگاه دانش ذخیره و نگهداری می شود.
زیرسامانه دیگری در واحد تحلیل رخدادها وجود دارد که وظیفه واکنش به رویدادهای تولید شده را بر عهده خواهد داشت. این زیرسامانه نسبت به برخی از رویدادهای امنیتی کشف شده توسط موتورهای تحلیل، در صورت اضطرار و براساس قواعد تعریف شده در SOC، واکنش های لازم را نشان می دهد.

  • واحد مدیریت وصله ها و مرور پیکربندی

یکی از وظایف مهم مرکز عملیات امنیت، مدیریت موثر وصله های نرم افزاری و همچنین پیکربندی وضعیت فعلی کلیه سامانه ها است. مدیریت صحیح وصله ها و اعمال به موقع آن ها، علاوه بر اینکه درجه امنیتی سامانه ها را ارتقا می بخشد، کشف حملات و تهدیدات در فرایند تحلیل رخدادها و همچنین واکنش به رویدادهای تولید شده توسط مدیران امنیتی را بهبود می بخشد.
علاوه بر مدیریت وصله ها، مدیریت پیکربندی و نگهداری آخرین وضعیت سامانه ها ( مشخصات سخت افزاری، سیستم عامل، سرویس های فعال، نرم افزار های نصب شده، پورت های باز و پیکربندی) نیز از وظایف این واحد SOC است. وضعیت سامانه ها بعنوان دانش در تحلیل رخدادها مورد استفاده قرار می گیرد.
پیاده سازی سامانه مدیریت موثر وصله ها در SOC به دلایل متعددی دارای اهمیت است: نخست اینکه حجم بالای وصله هایی که منتشر می شوند، عملا کنترل دسترسی آن ها را ناممکن می کند. دوم اینکه فرایند استفاده از یک وصله جدید پیچیده بوده و شامل مراحل ارزیابی، دریافت، آزمایش، نصب و نگهداری وصله است که مدیریت کل این فرایند به صورت دستی خطازا خواهد بود. سوم اینکه سرعت از ملزومات مدیریت وصله های منتشر شده است، چرا که نفوذگران بسرعت از رخنه های امنیتی کشف شده سوء استفاده می کنند و باید این زمان را از آنان گرفت.

  • واحد پورتال و کنسول

به طور کلی پورتال و کنسول مرکز عملیات امنیت وظایفی از قبیل اعلان آنی رویدادهای امنیتی، تنظیم پارامترهای مربوط به هر کدام از زیر سامانه های SOC و تهیه انواع مختلف گزارش ها از وضعیت امنیت شبکه، رخدادها و رویدادهای امنیتی تولید شده و همچنین گزارش های تحلیل مخاطرات را بر عهده دارد.