Quello che stai chiedendo è generalmente definito Security Operations Center (SOC pronunciato come "calzino"). In questo luogo, gli analisti di sicurezza di Tier 1 esaminano gli incidenti di sicurezza man mano che arrivano per determinare se sono falsi positivi o se devono essere inoltrati agli analisti / ingegneri di livello 2. Se non è un falso positivo, in genere redigono un riepilogo dell'incidente ed escalation al livello 2. Il Livello 2 esaminerà e determinerà se l'evento è un falso positivo o se deve essere scalato alla risposta agli incidenti (vedi sotto) o livello 3 per ulteriori analisi. L'esatta suddivisione del lavoro tra i livelli varia a seconda dell'organizzazione, ma di solito ci sono 3 livelli. Alcuni di questi possono essere forniti on-prem e alcuni di questi vengono distribuiti a un provider di servizi di sicurezza gestiti (MSSP).
La dimensione dell'organizzazione e la maturità del proprio team di sicurezza determina come appare il SOC (se ne ha uno a tutti). In alcune organizzazioni più piccole / meno mature Le attività di sicurezza vengono gestite dall'assistenza IT / desk assistenza. Il SOC è il modello preferito e dovrebbe comportare numerose sovrapposizioni con i team di rete e IT / amministrazione poiché la corretta configurazione di questi team è la spina dorsale della sicurezza.
Inoltre, nelle organizzazioni mature dovrebbe esserci un team separato di risposta agli incidenti (IR) che abbia un contesto di business e intuizione amministrativa / accesso per rintracciare eventuali problemi intensificati dal SOC.
Inoltre, o come parte della squadra IR, ci dovrebbe essere un team forensics digitale per intensificare indagini che sembrano essere di natura seria.
Finalmente c'è un'enorme ricchezza di informazioni sul web su questo argomento, quindi guardati intorno e fai un sacco di letture. Hai solo una possibilità di creare un SOC per costruirlo correttamente.