Lo que está preguntando se conoce generalmente como un Centro de Operaciones de Seguridad (SOC pronunciado como "calcetín"). En este lugar, los analistas de seguridad de Nivel 1 revisan los incidentes de seguridad a medida que ingresan para determinar si son falsos positivos o si deberían ser escalados a analistas / ingenieros de Nivel 2. Si no es un falso positivo, generalmente redactarán un resumen del incidente y lo escalarán al nivel 2. El Nivel 2 investigará y determinará si el evento es un falso positivo y si debe escalarse a Respuesta al incidente (ver más abajo) o Nivel 3 para su posterior análisis. El desglose exacto del trabajo entre los niveles varía según la organización, pero generalmente hay 3 niveles. Parte de esto se puede proporcionar de forma local y parte de él a un Proveedor de servicios de seguridad administrados (MSSP).
El tamaño de la organización y la madurez de su equipo de seguridad determina el aspecto del SOC (si es que tienen uno). En algunas organizaciones más pequeñas / menos maduras, las tareas de seguridad se manejan en la mesa de ayuda / servicio de TI. El SOC es el modelo preferido y debe incluir mucha superposición con los equipos de Red y TI / Administración, ya que la configuración adecuada de estos equipos es la columna vertebral de la seguridad.
Además, en las organizaciones maduras debe haber un equipo separado de respuesta a incidentes (IR, por sus siglas en inglés) que tenga un contexto empresarial y una visión / acceso administrativo para buscar y remediar cualquier problema que el SOC incremente.
Además, o como parte del equipo de IR, debe haber un equipo de análisis forense digital para escalar las investigaciones que parecen ser de naturaleza seria.
Finalmente, hay una gran cantidad de información en la web sobre este tema, así que mire a su alrededor y lea mucho. Solo tienes una oportunidad de crear un SOC, así que hazlo bien.