جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

معرفی 9 نکته در مورد بخش های مختلف SOC (مرکز مدیریت امنیت)

مشابه people و processes استفاده از تکنولوژی درست برای موفقیت SOC بسیار مهم است. دسته های تکنولوژی که باید مورد بررسی قرار گیرند شامل infrastructure readiness ، log collection and processing ، system monitoring ، security control positioning و vulnerability management می باشد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

نکاتی در مورد بخش های مختلف تکنولوژی


1-Network Infrastructure Readiness

  • آیا از OOB برای مدیریت و مانیتورینگ استفاده می شود.
  • بررسی قابلیت high availability برای سیستم های حساس
  • ارزیابی سطح عملکرد شبکه

2-Events Collection, Correlation, and Analysis

  • آیا طرحی برای event collection در نظر گرفته شده است.
  • ارزیابی مقیاس پذیری event collection ، correlation و analysis
  • بررسی اینکه آیا سیستم های برای ارسال event های خود تنظیم شده اند.
  • آیا لیستی از موارد امنیتی مورد استفاده وجود دارد.
  • آیا آنالیز و پیدا کردن رابطه بین event ها به صورت بهینه انجام می گیرد.

3-Monitoring

  • جریان شبکه capture و آنالیز می شود.
  • بسته ها capture و آنالیز می شوند.
  • قابلیت گزارش دادن وجود دارد.
  • ارزیابی خلاها در مانیتورینگ مانند تاخیر بین گزارش ها ، مانیتورینگ نقاط کور
  • ارزیابی قابلیت نظارت در حین عملیات عادی و غیر عادی

4-Control

  • آیا کنترل های امنیتی مناسب در نظر گرفته شده است. به طور مثال فایروال یا IDS/IPS برای دسترسی سرورها در نظر گرفته شده است.
  • آیا مباحث امنیتی به درستی تنظیم شده است واقدام مناسب انجام می گیرد و event ها به درستی تولید می شوند.
  • آیا role-based access control روی تمام دستگاه های حساس فعال شده است و تنها افراد مجاز امکان دسترسی دارند.

5-Log Management

  • آیا از پلتفرم های Log Management برای نگه داری eventهای مرتبط با سازمان استفاده می شود.
  • چه دستگاه هایی log ارسال می کنند و دستگاه از دست رفته ارزش بیشتری برای SOC خواهد داشت.
  • ارزیابی راه حل های گزارش گیری ، هشدار دادن log management و همچنین قابلیت اشتراک اطلاعات با سایر سیستم ها

6-Vulnerability Assessment

  • آیا ابزاری برای شناسایی آسیب پذیری ها استفاده می شود.
  • آیا ابزارها می توانند انواع مختلف آسیب پذیرها را شناسایی کنند: network scanners ، web scanners و غیره. اینها شامل درک نحوی ارزیابی اسیب پذیرها می باشد.
  • آیا از ابزارها نگه داری می شود.
  • آیا خروجی این ابزارها با سایر پلتفرم ها مانند SIEM یکپارچه شده اند.

7-Vulnerability Tracking

  • آیا از ابزاری برای پیگیری وضعیت آسیب پذیرهای شناسایی شده استفاده می شود.

8-Ticketing

  • جمع آوری اطاعات در مورد سیستم تیکت و آیا از آن برای اهداف امنیتی استفاده می شود.
  • آیا سیستم تیکت با سایر ابزارها مانند SIEM یکپارچه شده است.
  • آیا سلامت کسب و کار می تواند براساس اثربخشی سیستم تیکت اندازه گیری شود.

9-Collaboration

  • آیا پلتفرمی وجود دارد که تیم SOC از آن برای اشتراک اسناد و اطلاعات به صورت امن استفاده کنند.
  • چگونه در زمانی حوادث امنیتی بین بخش های مختلف همکاری و ارتباط برقرار می شود.
  • چه تیم های خارج از SOC با SOC همکاری دارند.
وب سایت توسینسو

جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات