寫在開頭

SIEM 是作為 SOC (Security Operation Center) 最重要的核心組成，
相關人員、流程與工具的互動、調度都會匯集在 SIEM 平台之上，
但畢竟 SIEM 是工具，而 SOC 則是集大成之所在，
今天的鐵人時間，我們開始從原本工具本身的功能，
開始來看看這套工具所處的環境的人、事、物，

SOC 的角色與定位

SOC (Security Operation Center)
資訊安全作業維運中心，或是稱呼為「資安中心」，
係專門作為一個企業、組織資安集中化控管實施的場所，
就像是資安戰情中心角色，監控企業所有資訊系統的運作有無異常，
通常會是 5x8 或是 7x24 人員值守、全天候執行相關監控，
同時集結「威脅偵測」與「威脅回應」發生的所在地。

一般來說 SOC 沒有明確什麼要件，才能夠算是完整的 SOC，
隨著企業客戶投入在資訊安全資源程度的不同，
隨著企業客戶所在領域面臨監管的要求層級不同，
隨著商業組織在考量營收 vs 資安威脅損失的不同，
都會建立獨特出、適合自身企業的資訊安全維運中心。

SOC 的核心功能

SOC 扮演企業資安戰情中心的重責，
自然有其複雜、多元與各項任務需要肩負。
接下來我們來看看典型的 SOC 有何核心功能：

1. IT 系統的資產管理：能保護什麼？又該如何保護？
2. 威脅研究與預防措施：最新的攻擊手法？偵測機制調整？
3. 持續主動性的監控：透過 SIEM/SOAR/XDR/EDR 監控
4. 威脅回應：隔離端點、關閉程序、刪除有害檔案
5. 恢復與補救：資安事件後的系統回復與修補
6. 日誌管理：長期的日誌蒐集與保存
7. 事件根因調查：準確瞭解事件發生根因，改善偵測策略
8. 資安成熟評估與演練：成熟度評估、紅藍隊演練
9. 法規與合規性管理：遵守內、外稽核與領域法規要求

參考來源：https://www.trellix.com/en-us/security-awareness/operations/what-is-soc.html

SOC 的核心引擎：人員

透過前面介紹的 SOC 的核心功能，
大致上我們可以理解 SOC 的職掌與權責大概會有：

• 威脅調查 (Investigation)
• 威脅分析 (Analysis)
• SOC 營運 (Operation)
• 資安架構 (Architecture)
• 威脅偵測 (Detection)
• 威脅保護 (Protection)
• 威脅情資 (Threat Intelligence)
• 法規監管 (Regulation)
• SOC 治理 (Governance)

無論大或小的 SOC 資安維運中心組成，
共通不變的都會是在「人員」的組成，
以及如何讓不同專業成員執行這些 SOC 相關任務。

資安威脅調查與分析

當部署的資安監控機制生效時，
會需要負責就威脅事件做出回應，
像是告警 (Alert) 或是異常事件 (Event) 調查與分析等，
這類角色即為威脅調查與分析師的角色。

通常角色與任務職稱會是：

• Security analyst 資安分析師
• Incident responder 事件回應員
• Incident manager 事件回應主管

監控策略優化與架構調整

隨著威脅推陳出新，既有的監控機制仍須與時俱進，
因此整體資安監控機制與相關威脅保護工具，
就需要像是參數調校、優化或是新的案例庫更新等，
或是開發客製化程序來整合相關應用程式的整合。

所以這類的專業角色就會有：

• Developer 開發者
• Security architect 資安架構師
• Security engineer 資安系統工程師

資安保護和防禦機制

當我們有第一線維運人員值守，
也有威脅回應與事件回應小組，
也有維護資安系統與時俱進的的架構師，
這時候另外一塊我們還需要的是，
如何能模擬攻擊方或驗證我方防禦機制與架構？
意即現在流行的紅隊演練 (Red Team) 的服務。

通常企業多數都是以建置資安防禦為主，
一般不太會自己建立紅隊能量，
因此目前也都有很多很棒的台灣資安公司與團隊，
在專門提供這類的紅隊演練服務等等。

而如果 SOC 有這樣的角色時，通常職稱會是：

• Threat hunters 威脅獵捕者
• Vulnerability manager 弱點管理者
• Penetration tester 滲透測試者

SOC 治理與監管

一個 SOC 的編制與組成，
需要企業高層的支持以及能跨部門整合，
也因此對外溝通協調上，
除了 SOC 本身的技術、系統、測試相關人員外，
如何維持、維護、確保整體 SOC 營運能順利運行，
在對上溝通、對下管理、日常營運、人員訓練、法規遵循等，
都屬於 SOC 的營運治理與監管範疇。

這類方面的人員角色通常會有：

• Compliance officer 風險稽核小組
• Security awareneess and training professsional 教育訓練小組
• SOC manager SOC 營運經理
• Chief information security officer 資訊安全長

SOC 營運的挑戰

上述提到的很多角色與職位，
都需要專業資安技術能量人才提供相應服務，
也因此目前普遍專業人員短缺的議題，
主因也是完整 SOC 的組織編制、人員分工非常多元，
很難去達到理想化的編制與組成，
多是因應現況、在有限的資源下，做出最好的安排。

所以無論是企業內部的資安專責單位，
或是外部專業的資訊安全服務廠商，
都會普遍面臨人員的：「聘雇、訓練、離職、替換」的循環，
也因此「資安自動化」才會愈來愈浮現在客戶的視野裡，
都希望能夠導入高效又低人力介入的資安工具，
例如 AI-Based 的機器學習，或是 SOAR 自動化維運機制，
來協助企業能長期穩定的執行資安維運作業。

明日預告

今天介紹 SIEM 解決方案，
以及它所座落的場景 SOC 裡會發生的方方面面，
除了介紹 SOC 的核心功能之外，
也將它所關聯的人員、職責與角色進行初步的介紹與分享。

明天我們會繼續就 SIEM 與MSS/MDR的關聯，
也就是資安代管服務與偵測與回應代管服務這兩部分，
繼續跟各位邦友介紹與分享，
謝謝大家的時間！我們明天繼續空中相見！