¿Cómo supervisa el SOC (Centro de operaciones de seguridad) una red?

La seguridad se está estableciendo cada vez más en la estructura corporativa: ya no es aceptable que la seguridad sea una función secundaria de un departamento de TI. Para abordar este desafío, las organizaciones están invirtiendo en el desarrollo de centros de operaciones de seguridad (SOC) para proporcionar una mayor seguridad y una respuesta rápida a los eventos en todas sus redes. Construir un SOC puede ser una tarea monumental. Aunque los puntos más finos de la implementación de SOC son muy específicos de la red, hay varios componentes principales que toda organización debe incluir: personas, procesos y tecnología. Los tres existen en todos los elementos de seguridad y deben considerarse componentes igualmente críticos.

La planificación adecuada es crítica en las fases de desarrollo e implementación. Al igual que con muchos programas de seguridad, un proceso iterativo es más efectivo para desarrollar un conjunto refinado de procedimientos. Este enfoque permitirá a una organización reconocer más rápidamente los beneficios de su inversión, posicionándolos para aprovechar el conocimiento adquirido y las lecciones aprendidas a través de la operación real del SOC. Es importante establecer expectativas y plazos apropiados para el despliegue del SOC para que el período operativo inicial se vea como un período de refinamiento.

No todos los SOC tienen el mismo papel. Hay tres áreas de enfoque diferentes en las que un SOC puede estar activo, que se pueden combinar en cualquier combinación:

• Control: se centra en el estado de la seguridad con pruebas de conformidad, pruebas de penetración, pruebas de vulnerabilidad, etc.
• Monitoreo – enfocándose en eventos y la respuesta con monitoreo de registros, administración SIEM y respuesta a incidentes
• Operacional: se centra en la administración de seguridad operativa, como la gestión de identidad y acceso, la gestión de claves, la administración de firewall, etc.

Girish Vyas ha explicado esto bastante bien.

Agregando a la respuesta:

Muchos dispositivos de seguridad de redes y sistemas tienen un mecanismo de informes incorporado configurado en sus respectivas unidades que generan alertas, notificaciones y eventos basados ​​en la actividad, además de que la mayoría de ellos generalmente envían estas alertas a las herramientas de informes y análisis respectivas como mencionó Girish anteriormente, especialmente en infraestructura compleja y amplia / fragmentada.

Por ejemplo, Checkpoint tiene SmartEvent que genera un mapa / registro de los principales eventos de seguridad y le proporciona un informe de información que puede analizar y tomar las medidas correspondientes. Varios servidores proxy tienen informes de volumen de actividad que pueden brindarle una visión general sobre qué tipo de tráfico web fluye a través de su red e identificar las amenazas bloqueadas / permitidas (como el tráfico de Botnet / Malware).

La mayoría de estas cosas funcionan en firmas y anomalías de umbral: en caso de que cualquiera de ellas coincida / dispare, registrará el evento, lo analizará y enviará / creará un informe basado en el SoC que tome las medidas requeridas. Pueden ser falsas alarmas o alertas también, por lo que SoC a menudo termina haciendo I + D y correlación en el evento antes de tomar cualquier medida.

siga este enlace, puede obtener lo que quiere saber porque no puedo entender lo que quiere saber.

¿Qué es un SOC (Centro de operaciones de seguridad)?