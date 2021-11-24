24時間体制の継続的なセキュリティー監視： SOCは、拡張されたITインフラストラクチャー全体（アプリケーション、サーバー、システム・ソフトウェア、コンピューティング・デバイス、クラウド・ワークロード、ネットワーク）を24時間365日監視し、既知の悪用の兆候や疑わしいアクティビティーがないかどうかを確認しています。

多くのSOCにとって、中核となる監視、検知、対応テクノロジーは 、セキュリティー情報およびイベント管理 （SIEM）です。SIEMは、ネットワーク上のソフトウェアとハードウェアからのアラートとテレメトリをリアルタイムで監視および集約し、そのデータを分析して潜在的な脅威を特定します。最近では、一部のSOCでは、より詳細なテレメトリと監視を実現し、インシデントの検知と対応の自動化を可能にする拡張検知および対応（XDR）テクノロジー も採用しています。

ログ管理： ログ管理（あらゆるネットワーク・イベントによって生成されるログ・データの収集と分析）は、監視の重要なサブセットです。ほとんどのIT部門ではログ・データを収集しますが、実際には分析によって、通常のアクティビティーまたはベースラインのアクティビティーを確立し不審なアクティビティーを意味する異常を明らかにします。実際、多くのハッカーは、企業が常にログ・データを分析するとは限らないという事実を当てにしています。その場合、ウイルスやマルウェアは被害者のシステム上で数週間、場合によっては数カ月間も検知されずに実行されている可能性があります。ほとんどのSIEMソリューションにはログ管理機能が含まれています。

脅威の検知： SOC部門では、ノイズ（目的に対して不要な情報）からシグナル（誤検知からわかる実際のサイバー脅威やハッカーが悪用している兆候）を選別し、脅威を重大度別に優先順位付けします。最新のSIEMソリューションには、これらのプロセスを自動化し、データから「学習」して、時間の経過とともに不審なアクティビティーをより適切に発見する人工知能 （AI） が含まれています。

インシデント対応： 脅威や実際のインシデントに対応して、SOCは被害を抑えるよう努めます。アクションには次のものが含まれます。

根本原因調査。ハッカーにシステムへのアクセスを与えた技術的脆弱性と、インシデントの原因となったその他の要因 （不適切なパスワード管理やポリシーの不十分な施行など） を特定する。

侵害されたエンドポイントを停止するか、ネットワークから切断する。

ネットワークの侵害領域を隔離するか、ネットワークトラフィックを再ルーティングする。

侵害されたアプリケーションまたはプロセスを一時停止または停止する。

破損したファイルまたは感染したファイルを削除する。

アンチウイルスまたはアンチマルウェア・ソフトウェアを実行する。

内部および外部ユーザーのパスワードを使用停止する。

多くのXDRソリューションにより、SOCはこれらおよびその他のインシデント対応を自動化および高速化できます。