SOCとは、企業などが所有する情報システムへの脅威を、24時間365日体制で監視し、脅威情報の分析などを行い、対応策を示す専門組織を指します。
多くのSOCでは、SIEMを活用した監視システムを有しており、ログ情報を監視する中で、サイバー攻撃の兆候などに関するアラートを検知すると、SOC内のオペレータやアナリストに連携され、調査が開始されます。SIEM/SOCの運用や監視ルールのチューニングなどを定常的に行うことで、脅威に対する防御能力を日々アップデートしています。
SOCが分析したアラート情報は、CSIRT(Computer Security Incident Response Team)や情報システム部門に連携され、本格対応が進められるパターンが一般的です。
SOCにおける主な業務
業務区分 | 概要 | |
アラート監視 |
アラートの検知およびSOC-CSIRT間での情報共有 | |
分析 |
・検知したアラートの傾向を時系列で分析 ・攻撃内容・自組織への影響の特定 |
|
調査 |
外部機関から提供される脅威情報による過去ログ調査、影響の特定 |
|
定期報告 |
直近で発生したインシデントの日時、事象、影響、対応方針のほか、現在のステータス、検知傾向、監視改善提案等に関して、CSIRTに定期的に報告 |
|
インシデント 管理 |
SOAR(Security Orchestration and Automation Response)等を活用したインシデントのステータス管理 |
|
監視体制維持 |
・SOC監視メンバの時間帯によるローテーション管理 ・オペレータ、アナリスト等のメンバへの定期的な教育・訓練 |
|
SIEMの 機能維持管理 |
サイバー攻撃に関する情報、脆弱性情報等の外部からの脅威情報を元に、検知ロジックやその閾値、ブラックリスト等をチューニング |
セキュリティ監視運用の全体像