Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Capacidades de Un SOC
Capacidades de Un SOC
Centro de Llamadas Ayudar a los usuarios, realizar el triage, canalizar la información, informes de Debe ser el organismo en primera linea el cual orqueste la recepción
(Mesa de ayuda) incidentes y solicitudes de servicios de la organización recibidos por de los incidentes realizando el triage. El el organismo que canaliza las Esto es aproximadamente análogo a una mesa de ayuda tradicional de
teléfono, correo electrónico, publicaciones en el sitio web de SOC u otros entradas del NOC/SOC. TI, excepto en ciberdefensa, la cual debe opera por el ciberespacio.
Análisis en Tiempo Real métodos.
Creación de ciberinteligencia Ser la capacidad principal de autoría respecto a las creación de nuevos
informes de inteligencia cibernética, como avisos de amenazas o destacados, Se debe aplicar a los propios incidentes, análisis forenses, análisis de Por ejemplo, el análisis de una nueva amenaza o vulnerabilidad no vista
Inteligencia y Tendencias basados en la investigación primaria realizada por el SOC. malware y enfrentamientos adversos del SOC. anteriormente en otro lugar.
Analizar las fuentes de eventos, el malware recolectado y los datos de Información util a partir del análisis de las las fuentes de eventos, el Esto puede incluir análisis no estructurados, abiertos, de inmersión
Tendencias malware recolectado y los datos de incidentes en busca de evidencia profunda en varias fuentes de datos, tendencias y correlación durante
incidentes en busca de evidencia de actividad malintencionada o anómala o de actividad malintencionada o anómala o para comprender mejor semanas o meses de datos de registro, análisis de datos "bajo y lento" y
Inteligencia y Tendencias para comprender mejor los TTP de la unidad o adversarios. los TTP de la unidad o adversarios. métodos de detección de anomalías esotéricas.
Por lo general, esto requerirá que los miembros de SOC que ya están
ubicados cerca de la Unidad afectada, o que viajan a ella, apliquen su
Respuesta a incidente en sitio Trabajar con las Unidades afectadas para responder y recuperarse de un Responder y recuperarse de un incidente en el sitio de una Unidades experiencia práctica en el análisis de daños, la erradicación de los
Análisis y respuesta a incidentes incidente en el sitio. afectada. cambios dejados por un adversario y la recuperación de los sistemas a
un estado bueno conocido. Este trabajo se realiza en colaboración con
los propietarios del sistema y los administradores de sistemas.
Recopilar y almacenar artefactos forenses (como discos duros o medios Dependiendo de la jurisdicción, esto puede involucrar el manejo de los
Manejo de artefactos forenses medios mientras se documenta la cadena de la custodia, se asegura un
extraíbles) relacionados con un incidente de una manera que respalde su Respalde de información de su uso en procedimientos legales. almacenamiento seguro y se admiten copias de evidencia compilables
Análisis de artefactos uso en procedimientos legales. de bit a bit.
Realizar ingeniería inversa de malware o "reversing". Extrayendo malware
(virus, troyanos, implantes, cuentagotas, etc.) del tráfico de red o imágenes
de medios y analizarlos para determinar su naturaleza. Los miembros del Esta capacidad se destina principalmente a apoyar un monitoreo y
Malware y análisis de implantes SOC normalmente buscarán el vector de infección inicial, el comportamiento Determinar la naturaleza de los malware extraidos del tráfico de red respuesta efectiva. Aunque aprovecha algunas de las mismas técnicas
Análisis de artefactos y, potencialmente, la atribución informal para determinar el alcance de una o imágenes de medios. que los "forenses" tradicionales, no necesariamente se ejecuta para
intrusión y para apoyar la respuesta oportuna. Esto puede incluir el análisis respaldar el procesamiento legal.
de código estático a través de la descompilación o runtime/execution (por
ejemplo, "detonación") o ambos.
Auditoría de creación de contenido Crear y adaptar el contenido de SIEM o mantenimiento de registros (LM) Este servicio se basa en la capacidad de distribución de datos de
y gestión (correlación, paneles de control, informes, etc.) para los fines de revisión de Auditoría y detección de uso indebido de la plataforma tecnológica auditoría, y proporciona no solo una fuente de datos en bruto, sino
auditoría y detección de uso indebido de los usuarios. por parte de los usuarios. también contenido creado para las partes interesadas en ciberseguridad
Auditoria y amenaza interna fuera del SOC.
Investigación de casos de amenazas Investigar amenazas internas, para incluir un monitoreo enfocado o
internas El SOC puede aprovecha su propia autoridad reguladora o legal
prolongado de individuos específicos, sin necesidad de apoyo o autoridades Investigación de amenazas internas. independiente.
Auditoria y amenaza interna de una entidad externa.
Mapeo de red Mapeo sostenido y regular de redes de la organización para comprender el Comprención del tamaño, forma, composición e interfaces
su tamaño, la forma, la composición y las interfaces perimetrales, a través de perimetrales, de una red informática a través de técnicas Estos mapas a menudo se construyen en cooperación con otras
Escaneo y Evaluación técnicas automatizadas o manuales. automatizadas o manuales Unidades responsables de TI.
Protección
Dispositivo de protección de
fronteras O&M Operar y mantener (O&M) los dispositivos de protección de fronteras (por Operación y mantenimiento (O&M) de dispositivos de protección de Incluye actualizaciones y configuraciones de administración (CM) de las
ejemplo, firewalls, proxies web, proxies de correo electrónico y filtros de fronteras. políticas del dispositivo, a veces en respuesta a una amenaza o
Soporte de ciclo de vida de contenido). incidente. Esta actividad está estrechamente coordinada con un NOC.
herramientas SOC
Operar y mantener tecnologías fuera del alcance de los sensores. Esto
incluye el cuidado y la alimentación de los equipos informáticos SOC:
servidores, estaciones de trabajo, impresoras, bases de datos relacionales,
SOC Infraestructura O&M sistemas de solución de problemas, redes de área de almacenamiento (SAN) Tecnologías de operación y mantenimiento de SOC fuera del alcance El personal que apoya este servicio tiene privilegios de "root" en los
Soporte de ciclo de vida de y copia de seguridad en cinta. Si el SOC tiene su propio enlace, esto de los sensores, osea, redes informáticas aisladas y generamente equipos SOC.
herramientas SOC probablemente incluirá el mantenimiento de sus enrutadores, clasificadas como redes SCADA.
conmutadores, cortafuegos y controladores de dominio, si los hay. Esto
también puede incluir O&M de sistemas de monitoreo, sistemas operativos
(SO) y hardware.
Creación de firma personalizada Crear e implementar contenido de detección para sistemas de monitoreo Creación e implementación de contenido de detección para sistemas Esta capacidad aprovecha las herramientas a disposición del SOC para
(firmas IDS, casos de uso de SIEM, etc.) sobre la base de amenazas, de monitoreo sobre la base de amenazas, vulnerabilidades, llenar los vacíos que dejan las firmas proporcionadas comercialmente o
Soporte de ciclo de vida de vulnerabilidades, protocolos, misiones u otros detalles actuales del entorno protocolos, misiones u otros detalles actuales del entorno de por la comunidad. El SOC puede compartir sus firmas personalizadas
herramientas SOC de Unidades afectadas. Unidades afectadas. con otros SOCs.
Ingeniería y despliegue de Investigar el mercado, evaluación de productos, creación de prototipos, Investigación de mercado, evaluación de productos, creación de El personal que apoya este servicio debe mantener un ojo atento a un
herramientas ingeniería, integración, implementación y actualizaciones de equipos SOC, prototipos, ingeniería, integración, implementación y actualizaciones entorno de amenaza cambiante, aportando nuevas capacidades en
principalmente basados en software de código abierto o gratuito (FOSS) o de equipos SOC, principalmente basados en software de código cuestión de semanas o meses, de acuerdo con las demandas de la
Soporte de ciclo de vida de tecnologías comerciales disponibles (COTS). Este servicio incluye el abierto o gratuito (FOSS) o tecnologías comerciales disponibles
herramientas SOC misión.
presupuesto, la adquisición y la recapitalización regular de los sistemas SOC. (COTS)
Herramienta de Investigación y
Desarrollo Investigar y desarrollar (I+D) herramientas personalizadas donde ninguna Investigación y desarrollo (I+D) de herramientas personalizadas El alcance de esta actividad abarca desde el desarrollo del código para
capacidad comercial o de código abierto adecuado, se adapte a una donde ninguna capacidad comercial o de código abierto adecuado, se un problema conocido y estructurado hasta la investigación académica
Soporte de ciclo de vida de necesidad operativa. adapta a una necesidad operativa. de varios años aplicada a un desafío más complejo.
herramientas SOC
Reacción
Difundir proactivamente información de sensibilización y formación a la Difusión proactiva de información de sensibilización y formación a la Los objetivos principales son ayudar a la organización a protegerse de
Formación y sensibilización amenazas comunes como los esquemas de suplantación de identidad /
organización, apoyando a la capacitación general de usuarios, boletines y organización, apoyando a la capacitación general de usuarios,
Outreach (Capacidades otros materiales educativos que les ayudan a comprender varios problemas boletines y otros materiales educativos que les ayudan a comprender suplantación de identidad, mejorar la seguridad de los sistemas finales,
Complementarias) de ciberseguridad. varios problemas de ciberseguridad. crear conciencia sobre los servicios del SOC y ayudar a los
constituyentes a informar correctamente los incidentes.
Esto puede incluir casi cualquier cosa que el SOC desarrolle por sí solo
Redistribución de TTPs Intercambio sostenido de productos internos del SOC a otros aliados, (por ejemplo, herramientas, inteligencia cibernética, firmas, informes
Intercambiar productos internos del SOC a otros aliados, como SOC
Outreach (Capacidades asociados o subordinados, en un formato más formal o estructurado. como SOC asociados o subordinados, en un formato más formal o de incidentes y otros observables en bruto). Teniendo en concideración
Complementarias) estructurado. el principio de "quid pro quo" a menudo se aplica: el flujo de
información entre los SOC es bidireccional.
Relaciones con los medios Comunicar directamente a los medios de comunicación. El SOC es
Outreach (Capacidades responsable de divulgar información sin afectar la reputación de la unidad Comunicación directa con los medios de comunicación. …
Complementarias) afectada o las actividades de respuesta en curso.
Capacidades de un SOC
Nombre
Análisis en Tiempo Real
1 Centro de Llamadas
2 Monitoreo y Tiage en
tiempo real
Inteligencia y Tendencias
3 Colección y análisis de
ciberinteligencia
4 Distribución
ciberinteligencia
5 Creación de
ciberinteligencia
6 Fusión ciberinteligencia
7 Tendencias
8 Evaluación de amenazas
Coordinación de respuesta
11 a incidentes
Implementación de
12
contramedidas
Respuesta a incidente en
13
sitio
Respuesta remota a
14 incidentes
Análisis de artefactos
15 Manejo de artefactos
forenses
Malware y análisis de
16
implantes
Análisis de artefactos
17
forenses
Dispositivo de protección
18
de fronteras O&M
Creación de firma
21
personalizada
Ingeniería y despliegue de
22
herramientas
Herramienta de
23 Investigación y Desarrollo
24 Auditoría de recolección y
distribución de datos.
25 Auditoría de creación de
contenido y gestión
Soporte de casos de
26
amenazas internas
27 Investigación de casos de
amenazas internas
Escaneo y Evaluación
28 Mapeo de red
29 Escaneo de vulnerabilidad
Evaluación de
30
vulnerabilidad
31 Pruebas de penetración
33 Consultoría de Seguridad
34 Formación y sensibilización
35 Conciencia Situacional
36 Redistribución de TTPs
Análisis de triaje y análisis superficial de las fuentes de datos en tiempo real (como los registros y alertas del sistema
intrusiones. Después de un umbral de tiempo específico, los incidentes sospechosos se escalan a un equipo de análi
incidentes para un estudio adicional. Por lo general, es sinónimo de los analistas de nivel 1 de SOC, que se centran e
eventos en tiempo real y otras visualizaciones de datos. Nota: esta es una de las capacidades más fácilmente recono
ofrecidas por un SOC, pero carece de sentido sin el correspondiente análisis de incidentes y la capacidad de respues
continuación.
Inteligencia y Tendencias
Recopilación, consumo y análisis de informes de inteligencia cibernética, informes de intrusiones cibernéticas y noti
con la seguridad de la información, que cubren nuevas amenazas, vulnerabilidades, productos e investigación. Los m
inspeccionan en busca de información que requiera una respuesta del SOC o distribución de esta misma. Inteligenci
diferentes fuentes como SOCs coordinadores, proveedores, sitios web de medios de noticias, foros en línea y listas d
correo electrónico.
Síntesis, resumen y redistribución de los informes de inteligencia cibernética, informes de intrusión cibernética y no
con la seguridad de la información a los miembros de la unidad constitutiva de forma rutinaria (como un boletín info
mensual) o no rutinaria (como un aviso de parche de emergencia o alerta de campaña de phishing).
Autoría principal de nuevos informes de inteligencia cibernética, como avisos de amenazas o destacados, basados e
primaria realizada por el SOC. Por ejemplo, el análisis de una nueva amenaza o vulnerabilidad no vista anteriorment
lo general, esto se debe a los propios incidentes, análisis forenses, análisis de malware y enfrentamientos adversos
Extraer datos de la inteligencia cibernética y sintetizarlos en nuevas firmas, contenido y comprensión de las TTP (Tac
Procedures) adversarias, lo cual permite mejorar y evoluciona las operaciones de monitoreo (por ejemplo, nuevas fi
SIEM).
El análisis a largo plazo de las fuentes de eventos, el malware recolectado y los datos de incidentes en busca de evid
malintencionada o anómala o para comprender mejor los TTP de la unidad o adversarios. Esto puede incluir análisis
abiertos, de inmersión profunda en varias fuentes de datos, tendencias y correlación durante semanas o meses de d
análisis de datos "bajo y lento" y métodos de detección de anomalías esotéricas.
Estimación holística de las amenazas planteadas por diversos actores, sus enclaves o líneas de negocio, dentro del á
Esto incluirá el aprovechamiento de los recursos existentes, como las fuentes y tendencias de inteligencia cibernétic
arquitectura y el estado de vulnerabilidad de la organización. A menudo se realiza en coordinación con otras partes
ciberseguridad.
Análisis y respuesta a incidentes
Análisis prolongado y en profundidad de posibles intrusiones y de sugerencias enviadas por otros miembros del SOC
generalmente la realizan analistas en los niveles 2 y superiores dentro del proceso de escalamiento de incidentes de
completarse en un período de tiempo específico para respaldar una respuesta relevante y efectiva. Por lo general, e
implicará un análisis que aproveche varios artefactos de datos para determinar quién, qué, cuándo, dónde y por qué
su alcance, cómo limitar el daño y cómo recuperarse. Un analista documentará los detalles de este análisis, generalm
recomendación para una acción adicional.
Coordinación cuidadosa de los enfrentamientos con los adversarios, mediante los cuales los miembros del SOC reali
análisis sostenidos "down-in-the-weeds" de las TTP (Tactics, Techniques and Procedures) del adversario, en un esfue
comprenderlos mejor e informar el monitoreo continuo. Esta actividad es distinta de otras capacidades porque (1) a
instrumentación ad hoc de redes y sistemas para enfocarse en una actividad de interés, como un honeypot, y (2) un
continuar su actividad sin ser inmediatamente eliminada. Esta capacidad está estrechamente respaldada por las ten
de malware e implantes y, a su vez, puede admitir la creación de inteligencia cibernética.
Trabajo con las Unidades afectadas para recopilar más información sobre un incidente, comprender su importancia
de la misión. Más importante aún, esta función incluye la coordinación de acciones de respuesta y el reporte de inci
no implica que el SOC implemente directamente contramedidas.
Implementación real de acciones de respuesta a un incidente para disuadir, bloquear o cortar la presencia o daño d
posibles contramedidas incluyen el aislamiento lógico o físico de los sistemas involucrados, los bloques de firewall, l
del DNS, los bloques de IP, el despliegue de parches y la desactivación de cuentas.
Trabajo con las Unidades afectadas para responder y recuperarse de un incidente en el sitio. Por lo general, esto req
miembros de SOC que ya están ubicados cerca de la Unidad afectada, o que viajan a ella, apliquen su experiencia pr
de daños, la erradicación de los cambios dejados por un adversario y la recuperación de los sistemas a un estado bu
trabajo se realiza en colaboración con los propietarios del sistema y los administradores de sistemas.
Trabajar con las Unidades afectadas para recuperarse de un incidente de forma remota. Esto implica el mismo traba
a incidentes en el sitio. Sin embargo, los miembros de SOC tienen comparativamente menos participación directa en
artefactos o sistemas de recuperación. El soporte remoto generalmente se realiza por teléfono y correo electrónico
raros, terminales remotas o interfaces administrativas como Microsoft Terminal Services o Secure Shell (SSH).
Análisis de artefactos
Recopilación y almacenamiento de artefactos forenses (como discos duros o medios extraíbles) relacionados con un
manera que respalde su uso en procedimientos legales. Dependiendo de la jurisdicción, esto puede involucrar el ma
mientras se documenta la cadena de la custodia, se asegura un almacenamiento seguro y se admiten copias de evid
de bit a bit.
También conocido como ingeniería inversa de malware o simplemente "reversing". Extraer malware (virus, troyano
cuentagotas, etc.) del tráfico de red o imágenes de medios y analizarlos para determinar su naturaleza. Los miembro
normalmente buscarán el vector de infección inicial, el comportamiento y, potencialmente, la atribución informal p
alcance de una intrusión y para apoyar la respuesta oportuna. Esto puede incluir el análisis de código estático a trav
descompilación o runtime/execution (por ejemplo, "detonación") o ambos. Esta capacidad se destina principalment
monitoreo y respuesta efectiva. Aunque aprovecha algunas de las mismas técnicas que los "forenses" tradicionales,
se ejecuta para respaldar el procesamiento legal.
Análisis de artefactos digitales (medios, tráfico de red, dispositivos móviles) para determinar el alcance total y la ver
incidente, generalmente mediante el establecimiento de una línea de tiempo detallada de eventos. Esto aprovecha
algunos aspectos del malware y el análisis de implantes, pero sigue un proceso más exhaustivo y documentado. A m
realiza mediante procesos y procedimientos de manera que sus hallazgos puedan respaldar acciones legales contra
estar implicados en un incidente.
Tecnologías de operación y mantenimiento de SOC fuera del alcance de la optimización de sensores. Esto incluye el
alimentación de los equipos informáticos SOC: servidores, estaciones de trabajo, impresoras, bases de datos relacio
solución de problemas, redes de área de almacenamiento (SAN) y copia de seguridad en cinta. Si el SOC tiene su pro
probablemente incluirá el mantenimiento de sus enrutadores, conmutadores, cortafuegos y controladores de domi
también puede incluir O&M de sistemas de monitoreo, sistemas operativos (SO) y hardware. El personal que apoya
privilegios de "root" en los equipos SOC.
Cuidado y alimentación de plataformas de sensores de propiedad y operadas por el SOC: IDS, IPS, SIEM, etc. Esto inc
sistemas IDS / IPS y SIEM con nuevas firmas, ajustar sus conjuntos de firmas para mantener el volumen del evento e
aceptables, minimizar los falsos positivos y mantener el estado de mantenimiento de los sensores y las fuentes de d
del SOC que participan en este servicio deben tener un conocimiento profundo de las necesidades de monitoreo de
SOC pueda seguir el ritmo de un entorno de consistencia y amenaza en constante evolución. Los cambios en cualqu
prevención en línea (HIPS / NIPS) generalmente se coordinan con el NOC u otras áreas de las operaciones de TI. Esta
implicar una secuencia de comandos ad hoc significativa para mover los datos e integrar herramientas y fuentes de
Creación e implementación de contenido de detección original para sistemas de monitoreo (firmas IDS, casos de uso
sobre la base de amenazas, vulnerabilidades, protocolos, misiones u otros detalles actuales del entorno de Unidade
capacidad aprovecha las herramientas a disposición del SOC para llenar los vacíos que dejan las firmas proporcionad
o por la comunidad. El SOC puede compartir sus firmas personalizadas con otros SOCs.
Investigación y desarrollo (I+D) de herramientas personalizadas donde ninguna capacidad comercial o de código abi
adapta a una necesidad operativa. El alcance de esta actividad abarca desde el desarrollo del código para un problem
estructurado hasta la investigación académica de varios años aplicada a un desafío más complejo.
Auditoria y amenaza interna
Recopilación de varias fuentes de datos relevantes para la seguridad para fines de análisis de incidentes y correlació
de recopilación también puede aprovecharse para respaldar la distribución y posterior recuperación de datos de au
investigación o análisis bajo demanda fuera del alcance de la misión SOC. Esta capacidad abarca la retención a largo
relevantes para la seguridad para su uso por parte de constituyentes fuera del SOC.
Creación y adaptación del contenido de SIEM o mantenimiento de registros (LM) (correlación, paneles de control, in
los fines de revisión de auditoría y detección de uso indebido de los constituyentes. Este servicio se basa en la capac
de datos de auditoría, y proporciona no solo una fuente de datos en bruto, sino también contenido creado para con
SOC.
Soporte para análisis e investigación de amenazas internas en dos áreas relacionadas pero distintas:
1. Encontrar sugerencias para posibles casos de amenazas internas (por ejemplo, mal uso de los recursos de TI,
fraude de tarjetas de tiempo, fraude financiero, espionaje industrial o robo). El SOC informará a los organismos de in
apropiados (aplicación de la ley, Inspector General [IG], etc.) con un caso de interés.
2. En nombre de estos cuerpos de investigación, el SOC proporcionará más monitoreo, recopilación de información
de un caso de amenazas internas.
El SOC aprovecha su propia autoridad reguladora o legal independiente para investigar amenazas internas, para incl
enfocado o prolongado de individuos específicos, sin necesidad de apoyo o autoridades de una entidad externa.
Escaneo y Evaluación
Mapeo sostenido y regular de redes de la organización para comprender el su tamaño, la forma, la composición y la
perimetrales, a través de técnicas automatizadas o manuales. Estos mapas a menudo se construyen en cooperación
responsables de TI.
Evaluación de seguridad abierta y de pleno conocimiento de un sitio, a veces conocido como "Blue Teaming". Los m
trabajan con los propietarios y administradores de sistemas para examinar de forma integral la arquitectura de segu
vulnerabilidades de sus sistemas, a través de exploraciones y exámenes. Configuración del sistema, revisión de la do
diseño del sistema, y entrevistas. Esta actividad puede aprovechar las herramientas de exploración de redes y vulne
de tecnologías más invasivas que se utilizan para interrogar a los sistemas en cuanto a configuración y estado. A par
los miembros del equipo producen un informe de sus hallazgos, junto con la remediación recomendada. Los SOC ap
evaluaciones de vulnerabilidad como una oportunidad para expandir la cobertura de monitoreo y el conocimiento d
Evaluación sin conocimiento o conocimiento limitado de un área específica, también conocida como "Red Teaming"
SOC realizan un ataque simulado contra un segmento de la infraestructura para evaluar la resistencia del objetivo a
operaciones generalmente se llevan a cabo solo con el conocimiento y la autorización de los ejecutivos de más alto
organización y sin avisar a los propietarios del sistema. Las herramientas utilizadas ejecutarán ataques a través de d
desbordamientos de búfer, inyección de lenguaje de consulta estructurado (SQL) y fuzzing de entrada. Los equipos r
limitarán sus objetivos y recursos para modelar los de un actor específico, tal vez simulando una campaña adversa q
con un ataque de phishing. Cuando termine la operación, el equipo producirá un informe con sus hallazgos, de la m
una evaluación de vulnerabilidad. Sin embargo, debido a que las actividades de pruebas de penetración tienen un co
objetivos, no cubren tantos aspectos de la configuración del sistema y las mejores prácticas como lo haría una evalu
vulnerabilidad.
En algunos casos, el personal del SOC solo coordinará las actividades de Red Teaming, con un tercero designado que
de las pruebas reales para garantizar que los evaluadores no tengan conocimiento previo de los sistemas o las vulne
Proporcionar asesoramiento sobre ciberseguridad a la organización fuera del alcance del CTE; apoyando el diseño d
continuidad del negocio y la planificación de recuperación ante desastres; política de ciberseguridad; guias de config
otros esfuerzos.
Difusión proactiva a la organización, apoyando a la capacitación general de usuarios, boletines y otros materiales ed
ayudan a comprender varios problemas de ciberseguridad. Los objetivos principales son ayudar a la organización a p
amenazas comunes como los esquemas de suplantación de identidad / suplantación de identidad, mejorar la seguri
finales, crear conciencia sobre los servicios del SOC y ayudar a los constituyentes a informar correctamente los incid
Empaquetado y redistribución regular y repetible del conocimiento del SOC sobre los activos, redes, amenazas, incid
vulnerabilidades de la organización. Esta capacidad va más allá de la distribución de la inteligencia cibernética, mejo
comprensión de la organización sobre la postura de seguridad cibernética, impulsando la toma de decisiones efectiv
niveles. Esta información se puede entregar automáticamente a través de un sitio web del SOC, un portal web o una
de correo electrónico.
Intercambio sostenido de productos internos del SOC a otros aliados, como SOC asociados o subordinados, en un fo
estructurado. Esto puede incluir casi cualquier cosa que el SOC desarrolle por sí solo (por ejemplo, herramientas, int
cibernética, firmas, informes de incidentes y otros observables en bruto). Teniendo en concideración el principio de
menudo se aplica: el flujo de información entre los SOC es bidireccional.
Comunicación directa con los medios de comunicación. El SOC es responsable de divulgar información sin afectar la
unidad afectada o las actividades de respuesta en curso.