Qual è la differenza tra un SIEM e un SOC?

Ad un livello superiore, ricorda che:

• Un SIEM (Security Information and Event Management) è un tipo specifico di tecnologia, che fornisce visibilità alla rete in un contesto di sicurezza (indicando attività sospette / illegittime attraverso regole di configurazione e intelligence di correlazione) e consentendo agli analisti della sicurezza di agire sospette minacce.
• Un SOC (Security Operations Center) comprende le persone, i processi e la tecnologia coinvolti nel monitoraggio protettivo di una rete, nella risposta agli incidenti e nella ricerca / ricerca attiva di minacce note / sconosciute.

Un Security Information ed Event Management (SIEM), è uno strumento che raccoglie e normalizza i log che sono testati contro un insieme di regole di correlazione che, una volta attivato, crea eventi da analizzare per gli analisti umani.

Un Security Operations Center (SOC) è un'unità centralizzata di analisti della sicurezza (e relativi ruoli lavorativi) che si occupano di problemi di sicurezza, utilizzando una serie di strumenti. Uno degli strumenti principali utilizzati dagli analisti della sicurezza è un SIEM in quanto è il SIEM che "affiorerà" gli incidenti di sicurezza all'analista umano.

Normalmente non avrai un SOC senza un SIEM. Ma potresti trovare che i team IT che hanno un elemento di sicurezza maturo possono avere un SIEM (o qualcosa di simile). Anche se è spesso il caso (secondo la mia esperienza) che la capacità SIEM sarà esternalizzata a una terza parte o sarà arrotolata in un SOC dedicato.

Potresti anche scoprire che i SIEMS sono usati nei Cyber Incident Response Teams (CIRT) che sono simili ai SOC, ma possono avere ampliato la capacità in altre aree come la condivisione delle informazioni, l'intelligence e il riposo degli incidenti più profondo.

Se il SOC era un negozio, l'analista della sicurezza sarebbe l'assistenza al dettaglio che lavora con le casse e il SIEM sarebbe la cassa.