Sto facendo un flusso di lavoro concettuale di un SOC così se supponiamo che un La soluzione SIEM è integrata all'interno del SOC interno di un'organizzazione. Inoltre, se il team del SOC è quello che gestisce la soluzione SIEM.
La mia domanda è quando affronteremo un formato di log che non corrisponde a nessuna delle regole di analisi già memorizzate nel parser SIEM, quindi passeremo a un formato generico e aggiungeremo manualmente una nuova regola di analisi per questa voce. Quindi quale livello di Analista dovrebbe essere responsabile di questo compito? Sapendo che ho:
-
Livello 1 (Triage): responsabile di avvisi ordinari e chiusura di falsi positivi
-
Livello 2 (analisi): in pratica, questo è il punto in cui la qualifica di avvisi non ordinari viene portata da L1 a L2 che richiedono ulteriori indagini.
-
Livello 3 (Indagine): per indagini approfondite in cui sarà necessario identificare i vettori di attacco e gli attori applicano anche alcuni dati di arricchimento ...
-
Squadra di rimedi: dove conterremo e sradicheremo e recupereremo dall'incidente ...
-
Gestione SOC: gestisce l'amministrazione, la supervisione e la gestione dei servizi del SOC.