في هذا المقال ساتكلم بشكل مُبسط عن الـSOC ساتحدث عن الاجراءات و انواعه وكذالك وظيفة كل لفل من السوك وساقوم باكمل المقال في الايام القادمة ان شاء الله
في البداية ماهو الـSOC هو ( Security Operation Center ) هو عبارة عن مجموعة من الاشخاص و السياسات او الاجراءات و التكنولوجيا المستخدمه لحماية انظمة المعلومات داخل المنظمه.
من خلال التصميم الاستباقي ، و المراقبة المستمره ،و اكتشاف الاجراءات غير المرغوب فيها تقلل الضرر الناجم عن الاثار غير المرغوب فيها.
السوال الذي يطرح نفسه لماذا تقوم المنظمات باستخدام او انشاء مركز الـSOC ؟ او بشكل اخرى ماهي انوع الـSOC ؟
هنالك ثلاثة انواع ساتكلم عن كل نوع بشكل مبسط وواضح
1- Compliance
2- Threat Centric
3- Operations
هنالك ثلاثة انواع ساتكلم عن كل نوع بشكل مبسط وواضح
1- Compliance
2- Threat Centric
3- Operations
1- compliance: في هذا النوع يتاكد السوك ان الاشخاص و المنظمة ينصاعون للقوانين داخل المنظمة يعني مثلاً لو هذه المنظمة تعمل في تحليل بيانات المرضى تحتاج تكون حاصله على HIPAA
او مثلاً لو كانت هذه المنظمه تعمل في المجال المالي تحتاج تكون حاصله على شهادة PIC DSS يعني السوك يتاكد ان جميع الانظمة والقوانين مطبقة بشكل صحيح داخل المنظمه.
2- Threat Centric: في هذا النوع
⁃يقوم بالنظر الى التهديدات و المحالات في الدفاع عن المنظمة من جميع انواع التهديدات
⁃يتمحور حول التهديدات بشكل استباقي يبحث عن التهديدات المزعجة على شبكة المنظمة
⁃الكشف عن التهديدات الجديدة التي يتم تحديدها انها ثغرات امنية
⁃يقوم بالنظر الى التهديدات و المحالات في الدفاع عن المنظمة من جميع انواع التهديدات
⁃يتمحور حول التهديدات بشكل استباقي يبحث عن التهديدات المزعجة على شبكة المنظمة
⁃الكشف عن التهديدات الجديدة التي يتم تحديدها انها ثغرات امنية
3- Operations: هذا النوع هو بين النوع الاول والنوع الثاني من اجل ضمان استقرار العمليات داخل المنظمة من شبكة وغيرها.
يوجد ثلاث حالات توي الى الكشف و الاستجابة لتهديدات كما ذكرت في الاعلى ان السوك عبارة عن Process , Technology , People السوك ممكن يكون مبنى خاص او غرفه او قسم على حسب المنظمة وحجمها
انا كمظنمة لدي المستخدمين ، والكلاود ، والتطبيقات ، والسيرفات وغيها احتاج الى حمايتها ف هنا انا لازم اوفر جهاز Firewall , IPS ,IDS وغيرها من اجهزة الحماية كل ذي الاجهزة تقوم بانشاء Logs&Event يتم تجميع كل ذي الاحداث في الـCorrelation database
في الcorrelation نقوم باضافة بعض الاشياء على البيانات عشان تكون البيانات واضحه وذات قيمه كمثلاً ان نضيف use case بحيث انه لو صار كذا عطني تنبيه وبكذا يطلع لنا التنبيه عن التهديدات الـAlarm لمن يوصل لـSOC Level 1 هنا يشوف هل هذا الـAlarm طبيعي او incident اذا كان هذا التهديد
incident نقوم بتحويل هذا التهديد الى Level 2 عشان يصير عليه investigation هنا Level 2 اذا كان بامكانه اخذ اكشن على هذا التهديد بياخذ اذا لا يقوم بتحويل هذا التهديد الي Level 3 وهنا الاشخاص اللى في هالمستوى هم اكبر خبره وهم اللى راح ياخذون الاكشن على هذا التنبيه .
اتمنى انني قد اوضحت فكره السوك وان شاء الله في الايام القادمه ساكمل هذا المقال .. فإن اصبت فمن الله، وإن أخطأت فمن نفسي والشيطان
جاري تحميل الاقتراحات...