> А как считаете, SOC не занимающийся расследованием инцидентов, а только их обнаружением имеет место быть
SOC — это организационный юнит, или отдел, занимающийся обеспечением защищенности.
В нем могут быть реализованы любые функции по обеспечению защищенности, он не обязан в себя включать какие-то конкретные процессы. Никакого стандарта нет. То что на рынке сейчас принято подразумевать под SOC "центр мониторинга событий ИБ" или "центр обнаружения и реагирования" вообще никого не обязывает следовать этому представлению.
У вас может быть SOC реализующий один-два процесса, например управление уязвимостями и харденинг. Все остальное реализуется на стороне или не реализуется. Сидите себе, мониторите ассеты, оперативно патчите уязвимости и применяете политики, пинаете людей чтобы перезагружали компы, мониторите обстановку с выпуском эксплойтов сами или опираетесь на производителя сканера. И это будет SOC, вне зависимости от того, кто там что считает.
@reednessfox> или это неэффективно?
Для того чтобы ответить на ваш вопрос, необходимо понять какую задачу вы решаете и какие у вас метрики для оценки эффективности.
Если вам все равно что происходит после обнаружения атаки/вредоносной активности, важно только ее обнаружить и на этом история заканчивается — то скорее всего свою задачу вы выполняете и все ОК.
Если все же с этой угрозой кому-то (вам, аутсорсеру, коллегам) нужно будет что-то делать (что является более распространенным сценарием), то здесь все становится немного сложнее.
Это одна из основных, классических ошибок — строить процесс обнаружения без учета потребностей процесса реагирования.
Корень этой проблемы заключается в отсутствии правильного сбора и длительного сохранения необходимых для реагирования данных.
Данные которые вы собираете для обнаружения почти всегда нужны для реагирования, но данные для реагирования не всегда кажутся нужными для обнаружения.
Хорошими примерами таких данных являются логи DHCP, DNS и Proxy (HTTP Transactions), а также NetFlow и PCAP (все у кого сейчас возникло желание подискутировать о сборе дампов — давайте отложим до решения основного топика).
Одним из ключевых этапов процесса реагирования является Идентификация (Identification), это то что необходимо сделать в первую очередь, сразу после выявления инцидента. По сути, необходимо ответить на ряд вопросов, таких как:
- Что это за угроза (что именно она делает, как распространяется внутри сети)
- Как она попала в сеть (через уязвимость или иным образом)
- Какие хосты/пользователи/сегменты были атакованы
- и тд
Эта часть процесса является проводником ко всем последующим, поскольку от полученных ответов будет зависеть то, как эта угроза будет Сдерживаться (Containment), Ликвидироваться (Eradication), какие действия необходимо будет произвести чтобы восстановить исходное состояние систем (Recovery) и какие изменения внести в системы для предотвращения повторения инцидента в будущем (Lessons Learned).
Так вот, если у вас нет системы длительного сохранения логов, и (или) вы не собираете нужные для реагирования данные, то мы получаем совершенно обычную, ничем не примечательную для мира картину — те кто должен реагировать на инцидент, не могут этого делать, их работа значительно осложнена, а значит,
не эффективна.