在本系列的第一篇部落格中,我們簡要了解了安全運營中心(soc)是什麼。
在本篇部落格中,我們將繼續**soc安全分析師的一些工作日常,了解soc團隊是如何做到時刻保護其公司免受網路威脅的,以及作為soc安全分析師又需要哪些基本技能。
soc安全分析師
soc安全分析師一般都經過專業的培訓,培訓側重在如何檢測並減緩公司網路威脅。當公司網路成為黑客的攻擊目標時,soc安全分析師需要最先做出反應,通常可以採用事先計畫好的安全策略去應對,有時也需要即刻採取措施,保證最大程度上減輕威脅,降低風險。
可以說soc安全分析師就是公司的安全顧問,與其他部門一起協調工作,降低網路中裝置、系統、程式甚至程序遭受的威脅,同時提供必要的響應措施來提高整個網路的安全性。
soc安全分析師的工作職責
soc安全分析師需要了解網路安全基本概念以及關注最新的安全技術,例如惡意軟體分析、網路安全、事件響應、逆向工程分析以及一些最佳的網路安全實踐案例,懂得如何關聯性分析網路中發生的多種事件,有效應對那些未公開的硬體和軟體漏洞。
除此之外,soc人員的一些其他重要職責還包括:
監視和分析入侵檢測系統(ids)和入侵防禦系統(ipss)
網路流量和日誌分析
檢測內部威脅和高階持續性威脅(apt)
惡意軟體的取證分析
分辨入侵檢測系統中的誤報
網路安全分析發現與跟蹤技術
制定網路安全告警通知
向其他團隊提供有關網路威脅的建議
soc安全分析師的工作日常
通常,soc團隊需要24x7全天候輪班工作。當換崗時,上一位同事的第一件事便是向下乙個同事簡要總結此次輪班中的安全活動的概要,以及所有需要關注的可疑事件,方便下乙個值班的同事進行進一步的跟蹤。
soc人員的幾個常見工作任務:
1.實時監視和分析可疑的網路活動和網路流量
2.訂閱威脅情報,主動尋找潛在的網路威脅
3.全面的網路安全架構(例如安全資訊和事件管理(siem)和it基礎結構庫(itil))配合使用,監視內部威脅並檢測apt)
4.與其他相關團隊協調合作一起確保公司整體網路安全的穩定性
5.對觸發告警的安全事件及時做出響應
soc安全分析人員使用的工具
為了有效地保護和監視公司網路,soc團隊必須定期維護和更新it安全工具。soc團隊使用的it工具主要用於入侵檢測系統(ids)、入侵防禦系統(ips)、下一代防火牆(ngfw)和日誌分析上。
除此之外,soc團隊使用的最重要的工具之一是包含但不限於以下功能的siem解決方案:
收集it管理活動資料以及使用者和實體行為分析(ueba),快速捕捉敏感使用者活動
多個網路事件之間潛在性的相關性風險分析
提供乙個實時的儀表板,顯示最需要關注的網路活動概要
使用預定義的工作流實現自動化工作流程
提供內建的工單系統,準確地定位每乙個異常告警
資料歸檔和取證分析
高階SOC安全分析師
招聘崗位 1 使用安全日誌分析平台 splunk elk等 進行安全事件挖掘,發現攻擊行為 攻擊路徑 攻擊方法等 2 通過對業務應用系統進行威脅建模,分析系統安全風險,形成風險分析報告 3 使用日誌安全分析平台,建立安全監控告警機制,安全應急響應,日誌調查取證 4 關注最新安全威脅情報資訊,定期總結...
安全運營中心(SOC)的建設方式
對於終端使用者而言,如果已經決定要引入soc,那麼要如何建設soc安全運營中心?注意,這裡的soc 包括技術 流程和組織三個部分,不單指soc技術平台。目前,業界通行的做法有三種 1 自建soc,自己搭建平台,建立自己的組織和流程,並進行運維。其中平台部分,使用者可以自己設計並開發平台,也可以外購乙...
(軟考)系統分析師 安全性知識
資訊保安的5個基本要素 特定的安全機制 普遍性的安全機制 b類安全等級 強制式保護級,具有強制性保護功能。a類安全等級 可驗證的保護,安全級別最高。只包含a1乙個級別,顯著特徵是,必須按照正式的設計規範來分析系統。對稱密碼體制 秘密金鑰體制 私鑰密碼體制 共享金鑰 非對稱密碼體制 公開金鑰體制 公鑰...