Yr ateb uniongyrchol
Mae dadansoddwr SOC yn monitro rhwydweithiau a systemau sefydliad ar gyfer rhybuddion diogelwch, yn ymchwilio i p'un a yw pob rhybudd yn fygythiad gwirioneddol neu'n bositif ffug, ac yn ei gau neu'n ei echelinau ar gyfer ymchwiliad a ymateb dyfnach. Mae'n rôl amddiffynnol (tîm glas) canolog ar logiau, rhybuddion, a rhestr ciwiau o docynnau - nid y ddelwedd Hollywood o olygfeydd hacio cyflym-deipio.
Mwyafrif diwrnod dadansoddwr SOC yw triage: mae offeryn Security Information and Event Management (SIEM - gweler fy tywyslyf SIEM ar gyfer dechreuwr) yn fflagio rhywbeth anghyffredin, ac mae'r dadansoddwr yn gweithio allan p'un a yw'n frasgodwr gwael, cliciad pysgota na aeth i unman, neu unioni gwirioneddol sy'n angen echeliniad ar unwaith.
Y tri lefel, a'r hyn sy'n newid ar bob un
| Lefel | Ffocws | Tasgau nodweddiadol | Echelinau i |
|---|---|---|---|
| Lefel 1 | Triage rhybuddion | Adolygu rhybuddion SIEM, cau positifau ffug, dogfennu tocynnau, dilyn runbooks | Lefel 2 am unrhyw beth heb ei gliriau neu ei gadarnhau |
| Lefel 2 | Ymchwiliad | Cydberthynas log ddyfnach, dadansoddiad malware sylfaenol, cadarnhau a amcangyfrif digwyddiadau | Lefel 3 / tîm ymateb i ddigwyddiadau ar gyfer digwyddiadau mawr |
| Lefel 3 | Hela bygythiad & ymateb | Yn rhagweithiol yn hela am fygythiadau na chafodd eu dal gan reolau presennol, arwain ymateb i ddigwyddiadau, tiwnio rheolau canfod | Yn gweithio gyda rheolaeth/cyfreithiol ar doriadau mawr |
Mwyafrif pobl sy'n darllen hyn yn anelu at Lefel 1 - mae'n y pwynt mynediad safonol, ac mae fy nhywyslyf ar sut i ddod yn dadansoddwr SOC yn nodi sut i gyrraedd yno.
Shifft nodweddiadol, tasg ar dasg
- Trosglwyddo dechrau shifft - adolygu'r hyn a flagiodd y shifft blaenorol neu adawodd yn agored.
- Gweithio drwy'r rhybudd SIEM ciwio, gan roi blaenoriaeth yn ôl difrifoldeb.
- Ymchwilio i bob rhybudd: gwirio'r IP ffynhonnell, y cyfrif defnyddiwr dan sylw, p'un a yw'r ymddygiad yn cydweddu â phatrwm hysbys.
- Cauwch positifau ffug gyda rheswm a ddogfennwyd (mae'r dogfennaeth hon yn bwysicach na disgwylir dadansoddwyr newydd - hyn sy'n cael ei archwilio).
- Echelinau digwyddiadau gwirioneddol neu amhegus i Lefel 2 gyda'ch canfyddiadau hyd yn hyn.
- Diweddaru tocynnau, rhedeg gwiriau a gynlluniwyd (statws clytiau, adroddiadau mewn-llofnodi methu), a thrin unrhyw geisiadau ad hoc gan dimau eraill.
- Trosglwyddo diwedd-shifft i'r dadansoddwr nesaf.
Osyw'r tîm yn rhedeg dros 24/7, mae hyn yn ailadrodd ar draws shifftiau dydd, trymder, a nos ar roster - mae'n werth gofyn amdano ar gyfweliad os yw patrymau shifft yn bwysig i chi.
Yr hyn dwi'n ei ddweud wrth fy myfyrwyr
Y camddealltwriaeth fwyaf dwi'n ei gywiro yn gyson: mae pobl yn disgwyl i waith SOC deimlo fel yr ochr ymosodol o ddiogelwch - yn weithredol "erlid hacwyr." Mae gwaith Lefel 1 yn agosach at fod yn nyrs triage hynod-wybodus iawn. Mwyafrif rhybuddion yw sŵn. Eich gwaith yw gwybod pa rai nad ydynt, ac mae'r sgiliau hyn yn adeiladu trwy ailadroddiad ac adnabod patrwm, nid ei ryddhad technegol crai. Os ydych chi'n canfod gwaith ailadroddol, trwm-ddull diflas, byddwch yn onest gyda chi'ch hun am hynny cyn i chi ymrwymo - mae'n bwysicach ar gyfer boddhad swydda na mwyafrif tywyslyfrau astudiaeth yn ei gyfaddef.
Y flip ochr: mae'r ailadroddiad hwn yn union sut y byddwch chi'n dysgu'n gyflym. Chwech mis o Lefel 1 rhybudd triage addysga chi fwy am sut mae rhwydweithiau gwirioneddol yn ymddwyn mewn gwirionedd na blwyddyn o gwrsiau hunan-astudiaeth, oherwydd bod chi'n gweld traffig gwirioneddol, misconfigurau gwirioneddol, a digwyddiadau gwirioneddol (os anaml).
Dwi hefyd yn dweud wrth fyfyrwyr beidio à thanddyfynhau faint o'r swydd yw ysgrifennu. Mae nodiadau digwyddiad clir, cryno yn sgiliau ynddynt eu hunain, ac mae chadwen anferth o'ch enw da ar dîm SOC yn dod o ba mor dda y rydych chi'n dogfennu'r hyn a ddarganfuwyd, nid dim ond p'un a ddarganfuwyd hynny.
Offer y byddwch chi'n eu defnyddio fel arfer
- SIEM platforms - Splunk, Microsoft Sentinel, QRadar, neu opsiynau god agored fel Wazuh.
- Ticketing systems - ServiceNow, Jira, neu debyg, ar gyfer olrhain ac echelinau digwyddiadau.
- EDR tools - meddalwedd canfod a ymateb pwynt-derfyn (CrowdStrike, Defender for Endpoint, SentinelOne) ar gyfer ymchwilio i beiriannau unigol.
- Threat intelligence feeds - i wirio p'un a yw IP neu hash ffeil eisoes yn hysbys-ddrwg.
Os ydych chi'n pwyso i fyny p'un ai mae'r llwybr gyrfa hwn yn addas i chi cyn cymryd amser ac arian yn ymrwymo, bwciwch wersi treial ac gallwn siarad trwyddo beth mae wythnos realistig yn edrych yn ei debyg yn seiliedig ar eich cefndir.
Cwestiynau a Ofynnir yn Aml
Ydy SOC analyst yn swydd straen-llawn?
Gall fod, yn enwedig yn ystod digwyddiad gwirioneddol neu shifft anghyffredin o brysur, ond o ddydd i ddydd mae'n waith cyson, dan broses yn hytrach nag argyfwng parhaus. Mae patrymau shifft (gan gynnwys nosweithiau, yn rhai cyflogwyr) yn aml yn straen mwy na'r cynnwys technegol ei hun.
Ydy SOC dadansoddwyr yn ysgrifennu cod?
Nid fel arfer ar Lefel 1. Mae sgriptio sylfaenol (Python, PowerShell) yn dod yn ddefnyddiol ar Lefel 2 ac yn uwch ar gyfer automatio tasgau ymchwiliad ailadroddus, ond nid yw'n ofyniad diwrnod-un.
Beth yw'r gwahaniaeth rhwng dadansoddwr SOC a thestwr treiddiad?
Mae dadansoddwr SOC yn amddiffyn ac yn monitro; mae tester treiddiad yn ymosod ar systemau gyda chaniatâd i ddod o hyd i wendidau yn gyntaf. Cymhariaeth llawn yn tîm glas yn erbyn tîm coch.
Sut ydw i'n gwybod os yw gwaith SOC yn iawn i mi?
Os ydych chi'n hoffi gwaith ymchwiliad strwythuredig, dull ac nid ydych chi'n meindio ailadroddiad yn gwasanaeth sicrhau bod yn dda ar adnabod patrwm, mae'n bwynt mynediad cryf. Os ydych chi'n cael eich denu i ddiogelwch yn unig oherwydd cynnwys ymosodol/hacio rydych chi wedi'i wylio ar-lein, mae'n werth deall y realiti o ddydd i ddydd yn gyntaf - sydd yn union yr hyn yw'r erthygl hon ar gyfer.