اگر بخواهیم به زبان ساده توضیح دهیم مرکز عملیات امنیت یک تیم است که با استفاده از ابزارهای مختلف و تعریف فرآیندهای کاری قصد دارند از امنیت شبکه و سیستم ها محافظت کنند .
پس شامل 3 قسمت است : 1-نیروی انسانی متخصص . 2-ابزارهای نرم افزاری مورد نیاز. 3-تعریف فرآیندها و شیفت های کاری
در واقع مرکز عملیات امنیت یا SOC (Security Operations Center) شبیه به اتاق مانیتورینگ امنیتی است که باید تمام اطلاعات در حال انتقال در شبکه را بررسی کند تا شاید مورد مشکوکی را کشف کند . برای این منظور از ابزارهای مختلفی استفاده می شود که یکی از آن ها ابزار siem (security information and event management) است.
روش کار تیم SOC به این صورت است که باید از تمام ترافیک شبکه بر روی تجهیزات مختلف لاگ تهیه کند و آن لاگ را در نرم افزار Siem تجمیع کند و از بررسی آن لاگ تشخیص دهد که آیا مشکل امنیتی وجود دارد یا نه
به شفاف شدن این موضوع فرض کنید که یک نفر به شبکه شما نفوذ کرده است . در این حالت یکی از اهداف نفوذگر دسترسی به حساب های کاربری است که سطح دسترسی آن ها در شبکه بالاتر است . به عنوان مثال دسترسی به حساب ادمین شبکه
برای این منظور روش های مختلفی وجود دارد که نفوذگر آن ها را امتحان خواهد کرد . صرف نظر از اینکه آیا نفودگر موفق می شود به سیستم ادمین شبکه نفوذ کند یا نه , هر بار تلاش نفوذگر برای ورود به سیستم ادمین شبکه باعث ایجاد یک لاگ در سیستم ادمین شبکه می شود.
حال اگر این لاگ در نرم افزار Siem تجمیع و بررسی شود احتمالا می توانیم از این موضوع مطلع شویم .
به عنوان مثال ما می دانیم که ادمین شبکه ما در چه ساعت هایی و با چه آدرس های IP در سیستم خود لاگین می کند و با لاگ های جدیدی که برای تلاش نفوذگر به لاگین در سیستم ادمین شبکه دریافت کرده ایم همخوانی ندارد.
با این مثال متوجه می شویم که باید لاگ های عمیق و زیادی را جمع آوری و بررسی کنیم که یکی از آن ها لاگ ایجاد شده از لاگین روی سیستم ها , سرورها و سایر تجهیزات شبکه است
در پست های بعدی در مورد انواع لاگ هایی که باید جمع آوری شود صحبت خواهیم کرد.
