Tim respon insiden harus memiliki staf yang cukup agar efektif. Tergantung pada skala organisasi dan jumlah lalu lintas, hanya tim kecil yang mungkin diperlukan. Organisasi besar biasanya mengharuskan tim penanganan insiden di tempat untuk tersedia setiap saat. Beberapa organisasi mengalihdayakan operasi SOC mereka ke penyedia layanan SOC, sehingga organisasi tersebut mungkin tidak memerlukan banyak staf SOC.
Angka ini memberikan pandangan umum dari beberapa peran pekerjaan potensial yang diperlukan dalam SOC. Sebagai contoh, seorang analis entry-level kemungkinan besar akan melakukan triase awal untuk peringatan yang diterima dari SIEM atau alat lain. Setelah analis menentukan (berdasarkan kebijakan dan proses yang diikuti oleh SOC) bahwa suatu peringatan membutuhkan penyelidikan lebih lanjut, peringatan itu mungkin dikirim ke tim investigasi untuk penyelidikan lanjutan. Tim investigasi mungkin harus menghubungkan data berdasarkan alat atau pengetahuan internal lainnya. Jika ditentukan bahwa belum ada informasi yang cukup, mereka mungkin memerlukan tim lain untuk melakukan penyelidikan lebih lanjut.
Diagram peran pekerjaan SOC ini tidak spesifik karena penelitian telah mengindikasikan bahwa organisasi sangat bervariasi pada peran dan tanggung jawab pekerjaan dalam suatu SOC. Setiap organisasi mungkin memiliki tanggung jawab yang tumpang tindih dengan peran pekerjaan lain dalam organisasi yang berbeda. Standar belum efektif dalam menyelesaikan masalah ini. Misalnya, kerangka NIST NICE (DRAFT - NIST 800-181 standar) mengidentifikasi pengetahuan, keterampilan, dan kemampuan dalam kategori Investigate, Collect and Operate, dan Analyze, tetapi mungkin ada tumpang tindih antara Investigasi dan Kumpulkan dan Operasikan di antara organisasi yang berbeda.
No comments:
Post a Comment