لایه های منابع انسانی در SOC

لایه های منابع انسانی در SOC

سطوح کارشناسان مرکز عملیات امنیت، معمولاً شامل چهار رده به شرح ذیل است:

لایه 1: تحلیلگران هشدارها (Alerts Analysts)

کارشناسانی که به صورت مستمر اطلاعات و هشدارهای صادر شده از تجهیزات و نرم‌افزارهای امنیتی را پایش نموده، مانیتورینگ پیوسته هشدارهای امنیتی، مانیتورینگ سلامت sensorها و endpointهای امنیتی و اطلاعات مورد نیاز جهت ارسال به لایه 2 را فراهم می‌آورند.

کارشناسان این سطح از SOC می بایست با پروسه های هشدارهای امنیتی، تشخیص نفوذ، SIEM آشنا بوده و دوره SANS SEC401 را گذارنده باشند.

لایه 2: پاسخگویان به وقایع امنیتی (Incidents Responders)

کارشناسانی که وظیفه تحلیل عمیق‌تر وقایع با استفاده از روش‌های همبستگی داده‌ها (Data Correlation) از sourceهای متنوع را برعهده دارند. این تیم در خصوص آلوده شدن سیستم‌ها و داده‌ها تصمیم‌گیری کرده و اصلاحیه‌های مورد نیاز را اجرا کرده، همچنین متدهای تحلیلی جدید جهت کشف تهدیدات را تدوین می‌نمایند‌.

کارشناسان این سطح از مرکز SOC می بایست بر روی مواردی از جمله: مکانیزم های کشف جرائم پیشرفته شبکه ، host-based forensic، روال های incident response، بررسی logها، ارزیابی اولیه بدافزارها، جرائم شبکه ای و هوش تهدید  آشنایی داشته باشند و ترجیحاً دوره های زیر را سپر کرده باشند:

  • SANS SEC501 (Advanced Security Essentials – Enterprise Defender)
  • SANS SEC503 (Intrusion Detection In-Depth)
  • SANS SEC504 (Hacker Tools, Techniques, Exploits and Incident Handling)

لایه 3: متخصصان موضوعات امنیتی / شکارچیان تهدیدات (Subject Matter Experts / Hunters)

متخصصان موضوعات و مقوله‌های تخصصی امنیت شامل متخصصان شبکه، متخصصان تهدیدات امنیتی، متخصصان جرم‌شناسی فضای سایبری، مهندسان مقابله با بد افزارها و همچنین متخصصان نرم‌افزارهای شکارچی  جهت به دام انداختن و شناسایی حملات و حمله‌کنندگان (برای مثال نرم‌افزارهای ‌Honeypot) در این لایه قرار می‌گیرند.

متخصصان این لایه از SOC می بایست دوره های زیر را سپری کرده باشند:

  • SANS SEC503 (Intrusion Detection In-Depth)
  • SANS SEC504 (Hacker Tools, Techniques, Exploits and Incident Handling)
  • SAN SEC511 (Continues Monitoring and Security Operations)
  • SANS SEC561 (Intense Hands-on Pen Testing Skill and Incident Handeling)
  • SANS FOR610 (Reverse-Engineering Malware: Malware Analysis Tools and Techniques)
  • SANS FOR500 (Windows Forensic Analysis)
  • SANS SEC555 (SIEM with Technical Analysis)
  • SANS SEC573 (Automation Information Security with Python)
  • Threat Hunting

لایه 4: مدیر مرکز عملیات امنیت (SOC Manager)

منابع و موارد مورد نیاز از جمله پرسنل، بودجه، شیفت‌های کاری، استراتژی انتخاب تکنولوژی جهت حصول توافقنامه‌های سطح سرویس خدمات امنیتی‌ (Security SLAs)، ارتباط با مدیران سطح بالا، پاسخگویی به مدیران سازمان در خصوص موارد مربوط به رخدادهای امنیتی خاص، جهت‌دهی به مرکز عملیات امنیت و استراتژی‌های امنیتی را برای این مرکز تدوین، تأمین و اجرا می‌کند.

به عبارت دیگر، این مدیر وظیفه هدایت و کنترل مرکز عملیات امنیت و نیز تدوین فرآیندها و مدل‌های مربوط به جریان‌های کاری و رویه‌های عملیاتی جهت مدیریت رخدادهای امنیتی را بر عهده دارد.

یک مدیر SOC می بایست دارای مدارکی همچون زیر باشد:

  • CISSP
  • CISA
  • CISM or CGEIT
  • PMP or Prince2

برگرفته از کتاب مرجع آموزش SOC & SIEM –  میثم ناظمی (در دست تألیف)

نوشتن دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.