Como ha hecho esta pregunta, supongo que no ha trabajado en SOC o ha trabajado en Operación en red pero no en seguridad.
La mayoría de las cosas entre Red y Seguridad es similar desde la perspectiva del Nodo inactivo y el problema de Conectividad, pero hay problemas más avanzados que están asociados además de los problemas relacionados con la red / conectividad. Dado que los servicios de seguridad no solo se limitan a la red y la funcionalidad, requieren herramientas como SIEM / SEM para correlacionar los incidentes que se encuentran / alertan.
Algunos de los problemas conocidos que SOC soluciona
- Cómo interceptar a todos los clientes en la red doméstica para monitorear el tráfico ascendente, por ejemplo, a través de MITM
- ¿Cuáles son las diferencias importantes entre un firewall de hardware y un firewall de software?
- En un juego en red de dos jugadores, ¿cuál es una buena manera de determinar si algún evento ocurrió primero para un jugador u otro?
- Sistema de nombres de dominio (DNS): ¿puede cambiar la URL de un sitio web local a anything.com en su red?
- ¿Cuáles son algunos consejos de seguridad para los niños que usan Internet en un dispositivo móvil y una computadora?
- Alertas de intrusión
- Error de inicio de sesión de VPN SSL
- Cortafuegos / dispositivo caído
- Solicitud de filtrado web
- Cumplimiento de cumplimiento
- Realice actualizaciones de Firma de forma regular.
- Trabajar en la lista CVE
- Realizar escaneos de vulnerabilidad y resolver problemas potenciales
Para las responsabilidades anteriores, confían en las siguientes herramientas / dispositivos
- Scripts escritos en PERL / Python / Bash
- Herramientas SIEM como Arcsight, QRADAR, LogRhythm, Solarwinds
- Herramientas de escáner SHODAN, Qualysgaurd, Nessus
- Otras herramientas pueden ser
- escáner de puertos – NMAP
- captura de paquetes – Wireshark
- Servidores Syslog.