安全運營 2 SOC安全分析師的日常

在本系列的第一篇部落格中，我們簡要了解了安全運營中心（soc）是什麼。

在本篇部落格中，我們將繼續**soc安全分析師的一些工作日常，了解soc團隊是如何做到時刻保護其公司免受網路威脅的，以及作為soc安全分析師又需要哪些基本技能。

soc安全分析師

soc安全分析師一般都經過專業的培訓，培訓側重在如何檢測並減緩公司網路威脅。當公司網路成為黑客的攻擊目標時，soc安全分析師需要最先做出反應，通常可以採用事先計畫好的安全策略去應對，有時也需要即刻採取措施，保證最大程度上減輕威脅，降低風險。

可以說soc安全分析師就是公司的安全顧問，與其他部門一起協調工作，降低網路中裝置、系統、程式甚至程序遭受的威脅，同時提供必要的響應措施來提高整個網路的安全性。

soc安全分析師的工作職責

soc安全分析師需要了解網路安全基本概念以及關注最新的安全技術，例如惡意軟體分析、網路安全、事件響應、逆向工程分析以及一些最佳的網路安全實踐案例，懂得如何關聯性分析網路中發生的多種事件，有效應對那些未公開的硬體和軟體漏洞。

除此之外，soc人員的一些其他重要職責還包括：

監視和分析入侵檢測系統（ids）和入侵防禦系統（ipss）

網路流量和日誌分析

檢測內部威脅和高階持續性威脅（apt）

惡意軟體的取證分析

分辨入侵檢測系統中的誤報

網路安全分析發現與跟蹤技術

制定網路安全告警通知

向其他團隊提供有關網路威脅的建議

soc安全分析師的工作日常

通常，soc團隊需要24x7全天候輪班工作。當換崗時，上一位同事的第一件事便是向下乙個同事簡要總結此次輪班中的安全活動的概要，以及所有需要關注的可疑事件，方便下乙個值班的同事進行進一步的跟蹤。

soc人員的幾個常見工作任務：

1.實時監視和分析可疑的網路活動和網路流量

2.訂閱威脅情報，主動尋找潛在的網路威脅

3.全面的網路安全架構（例如安全資訊和事件管理（siem）和it基礎結構庫（itil））配合使用，監視內部威脅並檢測apt）

4.與其他相關團隊協調合作一起確保公司整體網路安全的穩定性

5.對觸發告警的安全事件及時做出響應

soc安全分析人員使用的工具

為了有效地保護和監視公司網路，soc團隊必須定期維護和更新it安全工具。soc團隊使用的it工具主要用於入侵檢測系統（ids）、入侵防禦系統（ips）、下一代防火牆（ngfw）和日誌分析上。

除此之外，soc團隊使用的最重要的工具之一是包含但不限於以下功能的siem解決方案：

收集it管理活動資料以及使用者和實體行為分析（ueba），快速捕捉敏感使用者活動

多個網路事件之間潛在性的相關性風險分析

提供乙個實時的儀表板，顯示最需要關注的網路活動概要

使用預定義的工作流實現自動化工作流程

提供內建的工單系統，準確地定位每乙個異常告警

資料歸檔和取證分析