SOC (Security Operations Center) olmaq üçün ilkin biliklər

 

Security operations center(SOC) — bir təşkilata qarşı olunan kiber hücumları izləyən, analiz edən və qoruyan informasiya təhlükəsizliyi (infosec) sahəsində təcrübəyə malik informasiya texnologiyaları (İT) mütəxəssisləri komandası üçün komanda mərkəzidir.

1. Əsas İT Bilikləri

• Əməliyyat Sistemləri: Windows və Linux əməliyyat sistemlərinin iş prinsipini, strukturlarını və təhlükəsizlik parametrlərini dərindən öyrənin.

• Şəbəkə əsasları: TCP/IP, DNS, DHCP, şəbəkə protokolları və şəbəkə arxitekturası haqqında biliklər əldə edin.

• Şəbəkə Trafik Analizi: Wireshark kimi alətlərlə şəbəkə trafikini təhlil etməyi öyrənin.

2. Kibertəhlükəsizlik Əsasları

• Zərərli proqramlar: Viruslar, trojanlar, ransomware və digər zərərli proqram növləri haqqında məlumat əldə edin.

• Təhlükəsizlik Konsepsiyaları: CIA üçbucağı, risk idarəetməsi, zəifliklərin idarə edilməsi və məlumatların qorunması konsepsiyalarını öyrənin.

• İstifadəçi və İcazə İdarəetməsi: Active Directory, IAM (Identity and Access Management) sistemlərini öyrənin.

3. SIEM Alətləri və Log Təhlili

• SIEM (Security Information and Event Management): Splunk, QRadar, AlienVault, ArcSight kimi SIEM platformalarını öyrənmək vacibdir. Bu alətlərlə loq fayllarını toplamaq, təhlil etmək və hadisələri izləmək öyrənilməlidir.

• Log Təhlili: Loq fayllarının oxunması və təhlili üzrə bacarıqlarınızı inkişaf etdirin. Hər hansı bir hadisəni aşkar etmək üçün müxtəlif mənbələrdən gələn loqların necə istifadə olunduğunu öyrənin.

• Kiberhadisə Təhlili: Hadisə cavab ssenariləri üzərində təcrübə aparın və müxtəlif hücum növlərini tanımağı öyrənin.

4. Təhlükəsizlik Alətləri və Texnologiyaları

• Antivirus və EDR: Endpoint Detection and Response (EDR) sistemləri və antivirus alətlərinin iş prinsipini öyrənin.

• Firewall və IDS/IPS: Firewall-lar, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) kimi təhlükəsizlik avadanlıqlarının iş prinsipini və konfiqurasiyasını başa düşmək vacibdir.

• Vulnerability Management Tools: Nessus, OpenVAS kimi zəiflik skanlama alətləri ilə işləmək.

5. Praktiki Təcrübə

• Laboratoriya mühiti: Virtual laboratoriya quraraq müxtəlif hücum ssenariləri üzərində işləyin və hadisələrə cavab verin.

• Simulyasiya edilmiş hücumlar: CTF platformalarında və ya şirkətlərdəki real simulyasiyalarla təcrübə aparın.

• Hadisə cavabı məşqləri: Mümkün kiberhadisələr üçün reaksiyalarınızı sınamaq üçün təlimlərdə və məşqlərdə iştirak edin.

6. Sertifikatlar

• CompTIA Security+: Kibertəhlükəsizlik biliklərinin əsaslarını təsdiq edən başlanğıc səviyyəli sertifikatdır.

• Certified SOC Analyst (CSA): SOC analitiki olmaq üçün xüsusi olaraq hazırlanmış bir sertifikatdır.

• Certified Information Systems Security Professional (CISSP): Daha geniş və dərin kibertəhlükəsizlik biliklərini təsdiq edən sertifikatdır.

• Certified Incident Handler (GCIH): Hadisə idarəetməsi və hadisələrə cavab üzrə ixtisaslaşmaq üçün faydalı bir sertifikatdır.

SOC-un tərkibi

•   Tier 1 Alert Analyst
• · Tier 2 Incident Responder
• · Tier 3 Threat Hunter
• · SOC Manager

Tier 1 Alert Analyst

• 24\7 Monitorinq
• Daxil olan alertləri analiz etmək
• İnsidentlərə uyğun olaraq tiket yaratmalı
• İnsidentin aradan qaldırılması prosesini İR komandası ilə təqib etməli
• Növbəni təhvil-təslim etməli
• Tier 1, Tier 2 komandalarına insident barəsində hesabat verməli

Tier 2 Incident Responder

• Daxil olmuş alertləri dərindən analiz etmək

• İnsidentin aradan qaldırılmasında birbaşa iştirakı

• Tier komandasına tövhələrini bildirməli

• Təhlükəsizlik Əməliyyat Platformasının və Proseslərin sazlanmasında iştirakı

• SİEM alətinin yüngül problemlərini aradan qaldırılmasında iştirakı

Tier 3 Threat Hunter

• SİEM alətinin qurulması, sazlanması, və yeniliklərin mütəmadi olaraq yüklənməsi

• Log mənbələrinin qoşulması, log mənbəyinin incəliklərinin sazlanması

• SİEM alətində tənzimləmə işlərinin aparılması : Korelasiya qaydalarının yaradılması, İnteraktiv Panellərin yaradılması, Hesabatların yaradılması, Siyahıların tətbiq olunması

• SİEMdə yaranmış problemlərin aradan qaldırılması üçün, vendorla komunikasiyada olması

• Cari İnfrastrukturda yerləşən log mənbələrinin siyahısının tətbiq olunması

• Tier 1\Tier 2 komandaları ilə bilgi bölgüsü etməli

• Daxil olan alert və insidentlər üzrə Playbookların yaradılması

• Növbə cədvəlinin tətbiq edilməsi

SOC Manager

SOC komandasının bütün resurslarını idarə edir və daha böyük təşkilat və ya müştərilər üçün əlaqə nöqtəsi mövqeyindədir. 

Statuslar

True Positive — Modelin pozitiv hadisənin düzgün proqnozlaşdırdığı nəticədir.

True Negative — Modelin mənfi vəziyyəti düzgün proqnozlaşdırdığı bir nəticədir.

False Positive — Modelin pozitiv hadisəni səhv proqnozlaşdırdığı nəticədir.

False Negative — Modelin mənfi vəziyyəti səhv proqnozlaşdırdığı bir nəticədir.

Bu addımları izləməklə, SOC analitiki olmaq yolunda əhəmiyyətli bir irəliləyiş əldə edə bilərsiniz. Hər mərhələdə özünüzü inkişaf etdirərək bu sahədə peşəkar ola bilərsiniz.