Las principales funciones de un SOC son las siguientes:

• Monitorización y gestión de todos los activos de la empresa en tiempo real
• Securización y fortificación de activos
• Respuesta ante amenazas proactiva y reactiva
• Toma de decisiones frente a incidentes
• Recuperación y mantenimiento del negocio
• Evaluación del riesgo y cumplimiento normativo.
• Evaluación del riesgo y cumplimiento normativo
• Reporting y procesos de mejora.

Para poder implementar un SOC es necesaria la transferencia de conocimiento, estrategia, procesos y políticas de la organización, conocimiento de los sistemas y dispositivos y una cadena de mando y comunicación. El problema es que es muy costoso. Un SOC puede ser implementado de varias maneras:

• On-Premise
• Hybrid
• Outsourcing

1. Tecnología: Pernsal encargado de analizar la organización para ver que herramientras son necesarias para poder obtener datos apra el SOC
2. Securización: Securizar los equipos y documentarlos.
3. Políticas: Revisar políticas de seguridda de la empresa. Se recomienda basarlas en la ISO 27002.
4. Operación: Monitorización y testeo de equipos, respuesta a incidentes…. Permite conocer el funcionamiento de la organización y aplicar los cambios previstos en la política de seguridad
5. Inteligencia: Uso de herramientras de inteligencia que pueden anticipar problemas proactivamente.

• Eventos: Observaciones registrables. Puede generarse un log u otra fuente de entradas con eventos
  • Muchos eventos pueden ser configurados para emitir una alerta. Esto se hace para eventos de interés que deben ser vigilados y pueden requerir intervención. Se suelen configurar en la herramienta SIEM
  • Las alertas generan incidentes que deben ser registrados a través de herramientas de ticketing o Service Desk.
• Prolemas: Uno o más incidentes que no tienen una causa raíz identificada.
  • La gestión de problemas se ocupa de investigar y solucionar la casa raíz de los incidentes y encontrar soluciones permanentes y así intervenirlos en el futuro.

• Infraestructura de seguridad en la organización: Dispositivos que permiten mantener confidencialidad, disponibilidad e integridad.
  • NAC: Network Access Control
  • DLP: Data Loss Prevention
  • IDS: Intrusion Detection System
• Infraestructura de seguridad en el SOC: Dispositivos y herramientas para revisar y analizar la información recibida en el SOC.
  • SIEM: Sistemas de gestión de eventos de seguridad (Security Information and Evento Management)
  • Ticketing: Sistemas de gestión de incidencias
  • Herramientas de ayuda instaladas en equipos específicos (Honeypots)

Las principales fuentes de datos suelen ser los logs y el SIEM

• Logs: Permiten realizar un triage y diagnóstico de amenazas y anomalías como errores de hardware, servicios anómalos, fallos de autenticación, registro de tareas de administración… Los aspectos importantes del log son los siguientes:
  • Monitorizar el log para garantizar su correcto funcionamiento
  • Revisar el almacenamiento y rendimiento
  • Sincronización con NTP para el registro cronológico.
  • Proteger la información que no debe aparecer en un log (contraseñas, información personal…)
  • La información debe clasificarse en niveles de severidad para su filtrado.
  • Los logs se pueden utilizar para detectar fraudes, realizar análisis forense y para auditorías
• SIEM: Puede llevar a cabo tareas y detecciones más complejas derivadas de los procesos de correlación e inteligencia.

Sin herramientas que consisten en una base de datos de activos y una base de conocimiento con información sobre los verdaderos positivos en contraparte a los falsos positivos en relación a los tickets relacionados. Los tickets son puntuados y clasificados (Triage). El sistema de tocketing permite diseñar el proceso a seguir y los pasos del workflow de resolución que pueden ser vitales para reducir el impacto y tiempo.

Es importante que tenga capacidad para influir en las decisiones de la organización que permitan mitigar y recuperar de forma óptima la actividad de una organización. Es muy importante la velocidad de respuesta y toma de decisiones.