Estoy realizando un flujo de trabajo conceptual de un SOC por lo que si suponemos que un La solución SIEM está integrada dentro del SOC interno de una organización. Además, si el equipo del SOC es el que administra la solución SIEM.
Mi pregunta es cuando nos enfrentaremos a un formato de registro que no coincida con ninguna de las reglas de análisis ya almacenadas en el analizador SIEM, luego nos moveremos a un formato genérico y agregaremos manualmente una nueva regla de análisis para esta entrada. Entonces, ¿qué nivel de analista debería estar a cargo de esta tarea? Sabiendo que tengo:
-
Nivel 1 (Triage): responsable de alertas ordinarias y cierre de falsos positivos
-
Nivel 2 (Analizar): básicamente, aquí es donde se escala la calificación de alertas no ordinarias de L1 a L2, que necesitan una mayor investigación.
-
Nivel 3 (Investigación): para investigaciones profundas en las que necesitaremos identificar vectores de ataque y los actores también aplican cierto enriquecimiento de datos ...
-
Equipo de remediaciones: donde contendremos, erradicaremos y nos recuperaremos del incidente ...
-
Administración de SOC: maneja la administración, supervisión y administración de servicios del SOC.