Une organisation doit se protéger des menaces de cybersécurité en adoptant :

• une approche structurée, formalisée,
• avec des professionnels de la cybesécurité,
• dans des centres opérationnels de sécurité (SOC).

Les services du SOC peuvent être installés en interne, ou être détenus et exploités par un prestataire de sécurité.

Les principaux éléments d'un centre opérationnel de sécurité sont :

• les personnes,
• les processus mis en oeuvre,
• et les technologies utilisées.

les SOC attribuent les rôles des postes par niveau, en fonction de l'expertise et des responsabilités requises pour chacun d'eux.

• professionnels sui surveillent les alertes entrantes,
• vérifient s'il s'agit effectivement d'un véritable incident
• transmettent des tickets au niveau 2, si nécessaire.

• professionnels chargés d'examiner en détail les incidents
• recommandent des mesures ou des actions correctives à prendre.

• professionnels qui possèdent des compétences poussées dans le domaine des réseaux, des terminaux, des renseignements sur les menaces et de l'ingénierie inverse des malwares.
• savent très bien tracer les processus des programmes malveillants pour évaluer leur impact et déterminer comment les éradiquer.
• s'impliquent également dans la chasse aux menaces potentielles et dans l'implémentation d'outils de détection des menaces.
• recherchent les cybermenaces présentes dans le réseau mais qui n'ont pas encore été détectées.

• professionnel qui gère toutes les ressources du centre
• joue le rôle d'interlocuteur principal de l'entreprise ou du client.

• analyse des files d'attente d'alertes de sécurité, en général en utilisant un système de création de tickets pour sélectionner des alertes dans une file d'attente afin de les examiner.

• Après la vérification, l'incident peut être transmis aux enquêteurs ou à d'autres équipes de sécurité, ou désigné comme une fausse alerte. Sinon, l'alerte peut être rejetée en tant que fausse alarme.
• Si un ticket ne peut pas être résolu, l'analyste de cybersécurité de niveau 1 le transmettra à un analyste de gestionnaires des incidents de niveau 2 qui l'examinera plus en détail.
• Si l'analyste de gestionnaires des incidents de niveau 2 ne peut pas résoudre le ticket, il le transmettra à un analyste de niveau 3 qui dispose de connaissances plus poussées et de compétences en matière de détection de menaces.