Vai trò trong Trung tâm Điều hành An ninh (SOC)


Nếu ví SOC như một “trạm chỉ huy” trong chiến trường an ninh mạng, thì analyst là những chiến sĩ ở tuyến đầu, còn SOC Manager là người chỉ huy đảm bảo toàn bộ bộ máy vận hành trơn tru, nhịp nhàng và hiệu quả. 1. Vai trò của SOC Manager


SOC Manager không chỉ lo công việc nội bộ của SOC mà còn xử lý những vấn đề liên quan đến các bộ phận khác trong tổ chức. Họ chịu trách nhiệm:

• Ưu tiên công việc và phân bổ tài nguyên để đảm bảo các mối đe dọa được phát hiện – điều tra – xử lý kịp thời.
• Xác định nhiệm vụ hàng ngày của các analyst.
• Đặt ra yêu cầu kỹ năng tối thiểu để analyst có thể làm việc hiệu quả.
• Xây dựng quy trình làm việc và triển khai SOP (Standard Operating Procedures) cho xử lý sự cố, đảm bảo mọi analyst đều biết cách triage và response theo chuẩn.

---

2. Các cấp bậc Analyst trong SOC

Tier 1 – Lớp phòng tuyến đầu


Yêu cầu kỹ năng:

• Kiến thức nền về mạng máy tính (IP, subnet, routing cơ bản…)
• Kỹ năng traffic capture (sử dụng Wireshark, tcpdump…)

Nhiệm vụ:

• Giám sát hàng đợi cảnh báo liên tục.
• Triage các cảnh báo từ SIEM (Security Information and Event Management) để xác định mức độ nghiêm trọng.
• Giám sát tình trạng sensor và endpoint.
• Thu thập dữ liệu, bối cảnh, và chuyển vụ việc lên Tier 2 khi cần.

Ví dụ: Khi SIEM báo có đăng nhập bất thường từ IP nước ngoài, Tier 1 sẽ dùng Wireshark, log hệ thống, và thông tin asset để xem đó có phải hoạt động bình thường (false positive) hay khả nghi (true positive).

---

Tier 2 – Điều tra chuyên sâu


Nhiệm vụ:

• Phân tích sâu, correlate dữ liệu từ nhiều nguồn (firewall logs, IDS/IPS, endpoint telemetry…).
• Xác định hệ thống hoặc dữ liệu quan trọng có bị ảnh hưởng hay chưa.
• Đưa khuyến nghị khắc phục (remediation).
• Hỗ trợ phát triển phương pháp phát hiện mối đe dọa mới.

---

Tier 3 – “Thợ săn” mối đe dọa


Yêu cầu:

• Kiến thức chuyên sâu về mạng, endpoint, threat intel, forensics, reverse engineering, và hạ tầng CNTT.

Nhiệm vụ:

• Chủ động hunting mối đe dọa, không chờ cảnh báo escalated.
• Phát triển, tinh chỉnh, triển khai analytics để phát hiện mối đe dọa.
• Tham gia điều tra sự cố phức tạp (APT, malware tinh vi, khai thác zero-day).

Ví dụ: Tier 3 có thể phân tích malware bằng IDA Pro, Ghidra hoặc trích xuất IoC để cập nhật vào hệ thống phát hiện.

---

3. Kết nối với nguồn lực bên ngoài


Một SOC không thể hoạt động hiệu quả nếu tách biệt hoàn toàn. Cần xây dựng mối quan hệ trực tiếp, rõ ràng với các bộ phận IT, Network, Dev, Database để phối hợp khi có sự cố.

Ngoài ra, còn cần kết nối với các nguồn lực bên ngoài để:

• Nhận cảnh báo sớm
• Cập nhật threat intelligence
• Phân tích mẫu mã độc

Ví dụ về nguồn lực bên ngoài:

• Cisco Talos – Threat intelligence của Cisco
• US-CERT – Cảnh báo và khuyến nghị từ chính phủ Mỹ
• FIRST – Mạng lưới ứng cứu sự cố toàn cầu
• CVE – Cơ sở dữ liệu lỗ hổng
• PhishTank – CSDL URL phishing

---

4. Ba yếu tố cần thiết của một SOC hiệu quả:

• Công cụ NSM (Network Security Monitoring) mạnh mẽ – ví dụ: SIEM, IDS/IPS, packet capture.
• Nhân sự có nền tảng kỹ thuật vững – bao gồm networking, security, và phân tích log.
• Quy trình vận hành chặt chẽ – SOP rõ ràng để xử lý từ triage tới khắc phục.

​