Integration of SOC and NOC

➡ Security Operation Center နဲ့ Network Operation Center တွေပာာ Organization အတွက် အရေးပါ တဲ့ အခန်းကဏ္ဍတွေ ဖြစ်လာကြပါပြီ။ Team တစ်ခု ချင်းစီဟာ သက်ဆိုင်ရာ Monitoring Tools တွေအသုံး ပြုပြီး Network အခြေအနေပုံမှန်အတိုင်းလည် ပတ်နိုင်အောင်၊ Cyber Security Attacks ရန်မှ ကာကွယ်နိုင်အောင် 24*7 ဆက်တိုက် အလုပ်လုပ်ကြရပါတယ်။ ပုံမှန်အား ဖြင့် NOC Team က Network Availability နဲ့ Performance ပိုင်း နဲ့ ပတ် သတ်တဲ့ Issues တွေ ကိုဖြေရှင်းပြီး SOC Team က Information Security နဲ့ ပတ်သတ်တဲ့ Threat Issues တွေကို ေ ဖြရှင်းရပါတယ်။ အသေးစိတ် ကို Differences Of SOC And NOC ဆိုတဲ့ အရင် Article မှာသွားရောက် ဖတ်ရှုနိုင်ပါတယ်။
‍‍‍‍‍‍
ဒီနေ့ Article မှာတော့ SOC နဲ့ NOC ဒီ Team နှစ်ခုကို ပူးပေါင်း ခြင်း ဖြင့်incident တွေကို ဘယ်လောက် Efficient ဖြစ် ဖြစ် ဖြေရှင်းနိုင် မလဲ ဆိုတဲ့အကြောင်းကို SAN Institute ရဲ့ Integration Of SOC And NOC Paper ကို အခြေခံပြီး ဆက်လက် ရေးသားသွားမှာ ဖြစ်ပါတယ်။
‍‍‍‍‍‍
➡ Challenges Of Separated SOC And NOC
SOC နဲ့ NOC Team တွေက ကိုယ်ပိုင် Tools တွေကို အသုံး ပြုပြီး Incidents တွေကို Team တစ် ခု ချင်းဆီက သီးသန် ့စီဖြေရှင်းနေကြပြီး Team ၂ ခု ရဲ ့ကြားမှာ Information Sharing ဆိုတာလဲ မရှိပါဘူး။ SOC နဲ့ NOC Team တွေရဲ့ အချင်းချင်း ပူးပေါင်း လုပ်ဆောင်မှု မရှိ ခြင်း၊ Event Data Sharing မရှိ ခြင်း စတဲ့အချက် တွေကြောင့် Incident တစ်ခုကို Handling လုပ်တဲ့အခါ Efficiency မဖြစ်ခြင်း၊ Limited Visibility ဖြစ် ခြင်း၊ လွယ်ကူ မြန်ဆန်မုှ (Agility) မရှိ ခြင်း၊ Organization တစ်ခု လုံးအနေနဲ့ ခြုံ ငုံသုံးသပ်ကြည့် ရင် Security Posture တွေပာာ ထိရောက်မုှ မရှိ ခြင်း စတဲ့ Challenges တွေကိုကြုံတွေ ့လာရပါတယ်။
‍‍‍‍‍‍
➡ Integration Of SOC And NOC
‍‍‍‍‍‍
SOC Team နဲ့ NOC Team ၂ ခုကို Integrate လုပ်တော့ မယ် ဆိုရင် အခု ပြောမယ့် Level 3 ခု နဲ့ ပေါင်းစပ် ဖို့ လိုအပ်တယ် လို့ ဒီ Paper ထဲမှာ ဖော် ပြထားပါတယ်။
‍‍‍‍‍‍
🔹 Organizational Level – ဒီအဆင့်ကို SOC ရော NOC ရောမှာပါ Common First Level အနေနဲ့ တွေ့ရတတ်ပါတယ်။ ဒီအဆင့် မှာ သက်ဆိုင်ရာ Tools တွေအသုံး ပြုပြီး Alerts များစွာထဲမှ Complex Alerts ကို ရှာ ဖွေ ခြင်း (Triaging), ပိုပြီး တိကျတဲ့ Security Context ရအောင် False Positive နည်းအာင် Events တွေကို ပူးပေါင်း အဖြေ ရှာ ခြင်း (Cross-Correlation) စတဲ့ အချက်တွေကို လုပ်ဆောင် ရမှာပါ။
‍‍‍‍‍‍
🔹 System Level – SOC နဲ့ NOC Team ၂ ခုကြား ကောင်းမွန်စွာ Coordinate လုပ်နိုင် ဖို့တွက် Service Level Agreement, Standard Operating Procedures စတဲ့ Workflow တွေကို တေ ပြးညီ စံအနေနဲ့ သတ်မှတ် ရမှာ ဖြစ်ပါတယ်။
‍‍‍‍‍‍
🔹 Asset Level – SOC ၊ NOC Team ၂ ခု လုံးအတွက် လိုအပ်တဲ့ Data တွေကို Collect ပြီး ၊ Integrated Tools ဒါမပာုတ် Dashboards တွေ ဆီ Collected Data တွေကို ပေးပို့ပေးနိုင်တဲ့ Common Information Aggregator အသုံး ပြု ခြင်း ဖြစ်ပါတယ်။
‍‍‍‍‍‍
➡ SOC Team တွေကို Tiers တွေနဲ့ ဖွဲ့ စည်းကြပါတယ်။ Tier 1 SOC Analyst တွေပာာ Alert Analysis လုပ် ခြင်း ၊ Security Alerts Queue တွေထဲ မှ Complex Alerts တွေကို ရှာ ဖွေရ ခြင်း၊ Security Sensor နဲ့ Endpoints တွေကို Monitoring လုပ် ခြင်း၊ Tier 2 အထိ သွားရမဲ့ Issues တွေအတွက် လိုအပ်တဲ့ Data Collection လုပ် ရခြင်း စတာတွေကို လုပ်ဆောင်ရပါတယ်။ ထိုနည်းတူ Tier 1 NOC Analyst တွေ လဲ Network Infrastructure အပေါ် အချိန် ပြည့် အာရုံ စိုက်ပြီး Proactive Alarm Monitoring လုပ်နိုင်အောင် 24*7 လုံး Tier 1 SOC Analyst တွေလိုပဲ လုပ်ဆောင်ရပါတယ်။ First Tierမှာ လုပ်ဆောင် ရတဲ့ Tasks တွေက Team နှစ်ခုလုံးတွက် တူညီနေပါတယ်။ Tier 2 နဲ့ 3 ကို ရောက် ရင်တော့ SOC , NOC Specialist တွေရဲ့ Task တွေ၊ Skillset တွေက တဖြည်း ဖြည်း ကွဲ ပြား လာပါပြီ။ NOC Analysts တွေပာာ SNMP/Syslog တွေကို အခြေခံပြီး တည်ဆောက်ထားတဲ့ Nagios, NetXMS, Netcool, HP Openview, Monolith, Zabbix စတဲ့ System တွေအသုံး ပြုပြီး Event-Correlation လုပ်ကြပါတယ်။ SOC Analysts တွေပာာ Sourcefire/Snort IDS, RSA Security Analytics နဲ့ Splunk Enterprise Security Solution စတာတွေက ရလာတဲ့ Event Logs တွေကို SIEM Technology အသုံး ပြုပြီး Alerts တွေကို ဖြေရှင်းကြပါတယ်။ SOC နဲ့ NOC Team ၂ ခု ကို Integration လုပ် ခြင်း အား ဖြင့် Fault Management, Configuration Management, Accounting(Administration), Performance Management နဲ့ Security Management အပိုင်းတွေကို Visibility နဲ့ Efficient ဖြစ် ဖြစ် လုပ်ဆောင်နိုင် ဖို့ပဲ ဖြစ်ပါတယ်။ Joint SLA To Business ပုံထဲမှာ SOC နဲ့ NOC ရဲ့ Organizational Convergence ကို လေ့လာနိုင်ပါ တယ်။
‍‍‍‍‍‍
➡ Concerns about Relationship of SOC and NOC
SOC နဲ့ NOC Relationship Survey အရ SOC နဲ့ NOC Team တွေပာာ 12% လောက်သာ Technically အရ အ ပြည့်အဝပူးပေါင်းမုှ ရှိပြီး 21% က Emergency Case တွေမှာ ပူးပေါင်း ဖြေရှင်းကြတယ် လို့ ဖော် ပြထားပါတယ်။ 43% လောက် ပာာ NOC နဲ့ SOC ပာာ လုံးဝ Relationship မရှိခြင်း၊ NOC မရှိ ခြင်း ၊ NOC နဲ့ SOC Team တွေပာာ ပူးပေါင်း ဆောင်ရွက်မှု အလွန် နည်း ခြင်း တို့အကြောင်း ကို ဖော် ပြနေပါတယ်။ ဒီ Survey ရဲ့ ရာခိုင် နုှန်း တဝက် နီးပါးပာာ SOC နဲ့ NOC ကို Integrate လုပ် ဖို့ သေချာ နားမလည်မှု၊ စိုးရိမ်မှု တချို့ ရှိနေတယ် လို့ ဖော် ပြထားပါတယ်။ SOC and NOC Relationship ပုံကို ကိုးကားနိုင်ပါတယ်။
‍‍‍‍‍‍
➡ Conclusion
CTO, CIO , CISO စတဲ့ Technical, Informational Level Officers တွေပာာ သီးသန့်စီ အလုပ် လုပ်နေတဲ့ SOC , NOC Team တွေရဲ့ Lesson Learned/ After-Action Done ဖြစ် တာနဲ့ ဒီ Team ၂ ခုကို Integration လုပ်ပြီး Efficient and Effective Result Done ဖြစ် တာကို ကောင်းစွာ နားလည်ပြီး Integration of SOC and NOC အပိုင်း ကို စဉ်းစားသင့်ကြောင်း SAN Paper က အကြံ ပြု ထားပါတယ်။
‍‍‍‍‍‍
NEX4 အနေနဲ့ NOC, SOC Operations တွေကို Outsourced Support Team အဖြစ်လုပ်ကိုင်ရာတွင် ကျွမ်းကျင် နည်းပညာရှင်တွေနဲ့ လုပ်ဆောင်ပေးလျက်ရှိပါတယ်။ ထို့အပြင် Users တွေ Admins တွေအတွက် awareness ရှိပြီး ပိုမိုလွယ်ကူအောင် Trainings တွေကိုလဲ NEX4 ဘက်မှ ဆောင်ရွက်ပေးနေပါတယ်။

Don’t forget to share this post!