More Related Content Similar to Cyber_Security_Operation_Center_Cyber_Operation_Contest.pdf (20) Cyber_Security_Operation_Center_Cyber_Operation_Contest.pdf2. āļ§āļąāļāļāļļāļāļĢāļ°āļŠāļāļāđāļāļāļāļāļēāļĢāļŠāļāļāđāļāļŦāļąāļ§āļāđāļ Cyber Security Operation Center
âĒ 1. āđāļāļ·āđāļāđāļŦāđāļāļđāđāđāļĢāļĩāļĒāļāđāļāđāļēāđāļāļāļķāļāļāļ§āļēāļĄāļŠāļēāļāļąāļāļāļāļ Cyber Security Operation
Center (CSOC) āđāļāļāļēāļĢāļāđāļāļāļāļąāļāđāļĨāļ°āļāļĢāļ§āļāļāļąāļāļ āļąāļĒāļāļļāļāļāļēāļĄāļāļēāļāđāļāđāļāļāļĢāđ
âĒ 2. āđāļāļ·āđāļāđāļŦāđāļāļđāđāđāļĢāļĩāļĒāļāđāļāđāļēāđāļāļāļēāļĢāļāļēāļāļēāļāļāļāļ CSOC āļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļāļāļąāļāļāļēāļĢāđāļāđāļāļāđāļāļĄāļđāļĨ,
āļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđ, āđāļĨāļ°āļāļēāļĢāļāļāļāļŠāļāļāļāļāđāļāđāļŦāļāļļāļāļēāļĢāļāđāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨ
âĒ 3. āđāļāļ·āđāļāđāļŦāđāļāļđāđāđāļĢāļĩāļĒāļāļŠāļēāļĄāļēāļĢāļāđāļĒāļāđāļĒāļ°āđāļĨāļ°āđāļāđāļēāđāļāļŦāļāđāļēāļāļĩāđāļāļēāļĢāļāļēāļāļēāļāļ āļēāļĒāđāļ CSOC
Security Operation Center :
Introduction
3. CSOC āļāļ·āļāļāļ°āđāļĢ
Cyber Security Operation Center (CSOC) āļŦāļĢāļ·āļ āļĻāļđāļāļĒāđāļāļāļīāļāļąāļāļīāļāļēāļĢ
āļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļāđāļāļāļĢāđ āļāļ·āļ āļŦāļāđāļ§āļĒāļāļēāļāļāļĩāđāļĄāļĩāļŦāļāđāļēāļāļĩāđāđāļāļāļēāļĢ
āļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļāđāļāļāļĩāļ āļēāļĒāđāļāļāļāļāđāļāļĢ āļāļķāđāļāļāļ°āļāļĢāļ°āļāļāļāđāļ
āļāđāļ§āļĒāļāļĩāļĄāļāļēāļāļāļĩāđāļĄāļĩāļāļ§āļēāļĄāđāļāļĩāđāļĒāļ§āļāļēāļāđāļĨāļ°āļĄāļĩāļāļāļāļēāļāđāļāļāļēāļĢāļāđāļāļāļāļąāļ, āļāļĢāļ§āļāļāļąāļ
, āļ§āļīāđāļāļĢāļēāļ°āļŦāđ, āđāļĨāļ°āļāļāļāļŠāļāļāļāļāđāļāļ āļąāļĒāļāļļāļāļāļēāļĄāļāļēāļāđāļāđāļāļāļĢāđ āļāļķāđāļāđāļāļĒāļŠāđāļ§āļ
āđāļŦāļāđāļāļ°āļĄāļāļāđāļŦāđāļāļ āļąāļĒāļāļļāļāļāļēāļĄāļāļēāļāđāļāđāļāļāļĢāđāļāđāļēāļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāļēāļāļāđāļāļĄāļđāļĨ
log āļāđāļēāļ āđ
Security Operation Center :
Introduction
4. āļāļĩāļĄāļŠāļĩāđāļāļ (Red Team) āđāļĨāļ°āļāļĩāļĄāļŠāļĩāļāđāļēāđāļāļīāļ (Blue Team) āđāļāļāļēāļĢāļāļāļīāļāļąāļāļīāļŦāļāđāļēāļāļĩāđāđāļ CSOC
āļāļĩāļĄāļŠāļĩāđāļāļ (Red Team) āđāļĨāļ°āļāļĩāļĄāļŠāļĩāļāļēāđāļāļīāļ (Blue Team) āđāļāđāļāļŠāđāļ§āļāļŠāļēāļāļąāļāļāļāļ CSOC āļāļĩāđāļĄāļĩ
āļāļāļāļēāļāđāļĨāļ°āļŦāļāđāļēāļāļĩāđāļāļĩāđāđāļāļāļāđāļēāļāļāļąāļ
- āļāļĩāļĄāļŠāļĩāđāļāļ āļŦāļĢāļ·āļ Red Team āļĄāļĩāļāļāļāļēāļāđāļāļāļēāļĢāļāļāļŠāļāļāđāļĨāļ°āļāđāļēāļāļēāļĒāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļāļ
āļāļāļāđāļāļĢ āđāļāļĒāļāļēāļĢāļāļēāļĨāļāļāļāļēāļĢāđāļāļĄāļāļĩāļāļēāļāđāļāđāļāļāļĢāđ āđāļāļ·āđāļāļāđāļāļŦāļēāļāđāļāļāđāļŦāļ§āđāđāļĨāļ°āļāļ§āļēāļĄāļāđāļāļāđāļāđāļāļĢāļ°āļāļ
āļāļēāļĢāļāļēāļāļēāļāļāļāļāļāļĩāļĄāļāļĩāļāļ°āļāđāļ§āļĒāđāļŦāđāļāļāļāđāļāļĢāđāļāđāļēāđāļāļāļķāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļāļĢāļīāļ āđāļĨāļ°āļŠāđāļāđāļŠāļĢāļīāļĄāđāļŦāđāļĄāļĩāļāļēāļĢ
āļāļĢāļąāļāļāļĢāļļāļāđāļĨāļ°āđāļŠāļĢāļīāļĄāļŠāļĢāđāļēāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļĩāđāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ
- āļāļĩāļĄāļŠāļĩāļāļēāđāļāļīāļ āļŦāļĢāļ·āļ Blue Team āļĄāļĩāļāļāļāļēāļāđāļāļāļēāļĢāļāđāļāļāļāļąāļ, āļāļĢāļ§āļāļāļąāļ, āļ§āļīāđāļāļĢāļēāļ°āļŦāđ, āđāļĨāļ°
āļāļāļāļŠāļāļāļāļāđāļāļāļēāļĢāđāļāļĄāļāļĩāļāļēāļāđāļāđāļāļāļĢāđ āļāļĩāļĄāļāļĩāļāļ°āļāļēāļāļēāļāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļāđāļāļ·āđāļāļŠāļĢāđāļēāļāđāļĨāļ°āđāļŠāļĢāļīāļĄāļŠāļĢāđāļēāļ
āļāļēāļĢāļāđāļāļāļāļąāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒ āđāļĨāļ°āļāļĢāļ§āļāļŠāļāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāđāļāļĢāļ°āļāļāļāļāļāļāļāļāđāļāļĢāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļ
āļāļąāļāļāļąāļ, āļāļąāļāļāļĩāļĄāļŠāļĩāđāļāļāđāļĨāļ°āļāļĩāļĄāļŠāļĩāļāļēāđāļāļīāļāļāļēāļāļēāļāļāļ§āļāļāļđāđāļāļąāļāđāļ CSOC āđāļāļ·āđāļāļāļēāļĢāļāđāļāļāļāļąāļāđāļĨāļ°āļāļēāļĢ
āļāļāļāļŠāļāļāļāļāļĩāđāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļāļāđāļāļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāļāļēāļāļ āļąāļĒāļāļļāļāļāļēāļĄāļāļēāļāđāļāđāļāļāļĢāđ
Security Operation Center :
Introduction
7. Emerging Threats
Security Operation Center :
Introduction
- Ransomware Attack : āļ āļąāļĒāļāļļāļāļāļēāļĄāļāļĩāđāđāļāļīāļāļāļķāļāļāļēāļāļĄāļąāļĨāđāļ§āļĢāđāļāļĩāđāļĄāļĩāļāļĪāļāļīāļāļĢāļĢāļĄāļāļĩāđāđāļāđāļēāļĢāļŦāļąāļŠāđāļāļĨāđāđāļ
āđāļāļĢāļ·āđāļāļāđāļŦāļĒāļ·āđāļ āļāļēāļāļāļąāļāļāļēāļāđāļāļĄāļđāļĨāđāļŦāļĨāđāļēāļāļąāļāļĄāļēāđāļĢāļĩāļĒāļāļāđāļēāđāļāđ āđāļāļ·āđāļāđāļŦāđāļāļāļāļĢāļŦāļąāļŠāđāļāļĨāđ
- Phishing Attack : āđāļāđāļāļāļēāļĢāđāļāđāļŦāļĨāļąāļāļāļēāļĢāļāļēāļāļāļīāļāļ§āļīāļāļĒāļēāđāļāļāļēāļĢāļŦāļĨāļāļāļĨāļ§āļ (Social
Engineering) āđāļāļĒāļĄāļąāļāļāļ°āļĄāļļāđāļāđāļāđāļēāđāļāļĒāļąāļāļāļđāđāđāļāđāļāļēāļ āđāļŦāđāļŦāļĨāļāļāđāļŦāđāļāđāļāļĄāļđāļĨāļŠāļēāļāļąāļ āļŦāļĢāļ·āļ āļāļīāļāļāļąāļāļĄāļąāļĨāđāļ§āļĢāđ
- Fileless Malware : āđāļāđāļāļĄāļąāļĨāđāļ§āļĢāđāļāļĩāđāļāļāļīāļāļąāļāļīāļāļēāļĢāļāļ RAM āļāļāļāļĢāļ°āļāļāļāļāļīāļāļąāļāļīāļāļēāļĢ āļāļēāđāļŦāđāđāļĨāļĩāđāļĒāļ
āļāļēāļĢāļāļĢāļ§āļāļāļąāļāļāļāļ Anti-Virus āļāļĩāđāđāļāđāļāļēāļĢāļāļĢāļ§āļāļāļąāļāđāļāļāļāļąāļāđāļāļīāļĄ (Signature Base)
- IoT Attack : āđāļāđāļāļāļēāļĢāļĄāļļāđāļāđāļāļĄāļāļĩāđāļāļĒāļąāļāļāļļāļāļāļĢāļāđ āļāļĢāļ°āđāļ āļ IoT āļāļĩāđāļāļĒāļđāđāđāļāđāļāļĢāļ·āļāļāđāļēāļĒ
8. Best Practice for Mitigating Emerging Threats
Security Operation Center :
Introduction
- āļāļēāđāļāļīāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāđāļāļāđāļŦāļ§āđāļāļāļāļĢāļ°āļāļ āđāļĨāļ°āļ§āļīāđāļāļĢāļēāļ°āļŦāđ Attack Vector āļāļĩāđāļĄāļĩāđāļāļ§āđāļāđāļĄ
āļāļĢāļ°āļāļēāļāđāļāļĢāļ°āļāļ āļāļĒāđāļēāļāđāļāđāļāļāļĢāļ°āļāļē
- āļŠāļĢāđāļēāļāđāļāļāļĢāļąāļāļĄāļ·āļāļ āļąāļĒāļāļļāļāļāļēāļĄāđāļāđāļāļāļĢāđāļāļĩāđāđāļĢāļĩāļĒāļāļāđāļēāļĒ āļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ āđāļĨāļ°āđāļāļīāļāļāļ§āļēāļĄāļĒāļ·āļāļŦāļĒāļļāđāļ
āļāļĢāđāļāļĄāļĢāļąāļāļĄāļ·āļāļāļąāļāļ āļąāļĒāļāļļāļāļāļēāļĄāļāļēāļĄāđāļāļāļĢāļąāļāļĄāļ·āļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļāļāļŦāļāđāļ§āļĒāļāļēāļ
- āļāļąāļāļ§āļēāļāļāļāļāļēāļ āļŦāļāđāļēāļāļĩāđ āđāļĨāļ°āļāļ§āļēāļĄāļĢāļąāļāļāļīāļāļāļāļāļāļāļ SOC Analyst āđāļĨāļ° SOC team āļāļĒāđāļēāļ
āđāļŦāļĄāļēāļ°āļŠāļĄ āđāļāļĩāļĒāļāļāļ
- āđāļŦāđāļāļēāļĢāļāļāļĢāļĄ āļāļķāļāļāļ āļāļđāđāļāļĩāđāļāļāļīāļāļąāļāļīāļŦāļāđāļēāļāļĩāđ SOC āļāļĒāđāļēāļāļŠāļĄāđāļēāđāļŠāļĄāļ āđāļāļ·āđāļāđāļŦāđ SOC team āļĄāļĩ
āļāļ§āļēāļĄāļāļļāđāļāđāļāļĒāļāļąāļāļ āļąāļĒāļāļļāļāļāļēāļĄāđāļāđāļāļāļĢāđāļāļĩāđāđāļāđāļāļāļąāļāļāļļāļāļąāļ āđāļĨāļ° āļāļĢāļēāļāļāļķāļāđāļāļ§āđāļāđāļĄāđāļāļāļāļēāļāļ
- āļāļąāļāļāļēāļĢāđāļāļĢāļ·āđāļāļāļĄāļ·āļ Automation āļāđāļēāļ āđ āđāļŦāđāļāļēāļāļēāļāļāļĒāđāļēāļāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ
9. āļāļēāļĢāļāļāļāđāļāļāļāđāļāļĄāļđāļĨāļāļāļāļāļāļāđāļāļĢ
Security Operation Center :
Introduction
- Confidentiality āļāļēāļĢāđāļāđāļāļāļ§āļēāļĄāļĨāļąāļ
- āļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ
- āļāđāļāļĄāļđāļĨāļāļēāļāļāļēāļĢāđāļāļīāļ
- āļāđāļāļĄāļđāļĨāļāļ§āļēāļĄāļĨāļąāļāļāļāļāļāļāļāđāļāļĢ
- Integrity āļāļ§āļēāļĄāļāļđāļāļāđāļāļāđāļĄāđāļāļĒāļē
- āļāļąāļāļāļĩāļāļēāļāļāļēāļĢāđāļāļīāļ
- āļŠāļąāļāļāļēāļāļāļāļāļāļāđāļāļĢ
- āļāļĢāļ°āļ§āļąāļāļīāļāļēāļĢāļĢāļąāļāļĐāļē / āļāđāļāļĄāļđāļĨāļŠāļļāļāļ āļēāļ
- Availability āļāļ§āļēāļĄāļāļĢāđāļāļĄāđāļāđāļāļēāļ
- Business-critical applications (āđāļāđāļ āļĢāļ°āļāļāļāļĢāļīāļŦāļēāļĢāļāļēāļĨāļąāļāļāļĨ, āļĢāļ°āļāļāļāļĨāļąāļ
āļāļĢāļąāļāļĒāļēāļāļĢāļāđ) āļŦāļĢāļ·āļ CII
- Online Service
10. āļāļēāļĢāļāđāļē Security Control āļŠāđāļēāļŦāļĢāļąāļāļāđāļāļĄāļđāļĨāļāļāļāļāļāļāđāļāļĢ
Security Operation Center :
Introduction
a. Authentication āļŦāļĢāļ·āļāļāļēāļĢāļĒāļ·āļāļĒāļąāļāļāļąāļ§āļāļ āđāļāļĒāļāļąāļāļāļāļāļāļĩāđāļāđāļāļāļēāļĢāļĢāļ°āļāļļāļāļąāļ§
āļāļđāđāđāļāđāļāļēāļ āđāļĄāđāļ§āđāļēāļāļ°āđāļāđāļāļāļēāļĢāđāļāđāļĢāļŦāļąāļŠāļāđāļēāļ biometric āļŦāļĢāļ·āļāđāļāđ āļāļąāļāļāļąāļĒāļāļēāļĢāļĒāļ·āļāļĒāļąāļ
āļāļąāļ§āļāļāļāļ·āđāļ āđ āđāļāļ·āđāļāđāļŦāđāļĄāļąāđāļāđāļāļ§āđāļēāļāļđāđāđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨāđāļāđāļāļāļļāļāļāļĨāļāļĩāđāđāļāđāļĢāļąāļāļāļāļļāļāļēāļāļāļĢāļīāļ āđ
b. Authorization āđāļāđāļāļāļēāļĢāļāļēāļŦāļāļāļŠāļīāļāļāļīāđāļāļēāļĢāđāļāđāļēāļāļķāļāļāļāļāļāđāļāļĄāļđāļĨ āđāļāļĒāļĢāļ°āļāļāļŠāđāļ§āļ
āđāļŦāļāđāļāļ°āļŠāļēāļĄāļēāļĢāļāļĢāļ°āļāļļāļŠāļīāļāļāļīāđāđāļāđāļāļēāļĄāļāļĨāļļāđāļĄāļāļđāđāđāļāđāļāļēāļ āļŦāļĢāļ·āļ attribute āļāļēāļāļāđāļēāđāļāđ
āđāļĨāļ°āđāļĄāļ·āđāļāļĄāļĩāļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāļŠāļīāļāļāļīāđ āļāļēāļĢāļāļē Deauthorization āļāđāđāļāđāļ
āļĄāļēāļāļĢāļāļēāļĢāļāđāļāļāļāļąāļāļāđāļāļĄāļđāļĨāļĢāļąāđāļ§āđāļŦāļĨāđāļāđ
c. Auditing āđāļāđāļāļāļēāļĢāļāļēāļŦāļāļāđāļŦāđāļĄāļĩāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāļīāļāļāļĢāļĢāļĄāļāļāļĢāļ°āļāļ āđāļĄāđāļ§āđāļēāļāļ°āđāļāđ
log file, event monitoring āļŦāļĢāļ·āļāđāļāđ SIEM āđāļāļāļēāļĢāļāļīāļāļāļēāļĄāļāļīāļāļāļĢāļĢāļĄāļāļāļ
user āļāļāļĢāļ°āļāļ āļāļķāđāļāļĄāļĩāļāļĢāļ°āđāļĒāļāļāđāđāļāļāļēāļĢāļŠāļāļāļŠāļ§āļāđāļĄāļ·āđāļāļĄāļĩāļāđāļāļĄāļđāļĨāļĢāļąāđāļ§āđāļŦāļĨāđāļāđāļāļĩāļāļāđāļ§āļĒ
d. āļāļēāļĢāļŠāļĢāđāļēāļāļāļ§āļēāļĄāļāļĢāļ°āļŦāļāļąāļāļĢāļđāđ āđāļĨāļ°āļāļēāļĢāļāļķāļāļāļāļĢāļĄ
11. MITRE ATT&CK Framework
Security Operation Center :
Introduction
āđāļāļĢāļĄāđāļ§āļīāļĢāđāļ ATT@CK āđāļāđāļāļāļĢāļāļāļĄāļēāļāļĢāļāļēāļāļāļĩāđ
āļāđāļ§āļĒāđāļŦāđ SOC team āļŠāļēāļĄāļēāļĢāļāđāļāļĢāļĩāļĒāļāđāļāļĩāļĒāļ
āđāļāļāļāļīāļāļāļĩāđāđāļŪāļāđāļāļāļĢāđāđāļāđāđāļāļĄāļāļĩāļĢāļ°āļāļ āđāļāļĒ SOC
team āļāļąāļāļāļ°āļāļąāļāļĨāļēāļāļąāļāļāļ§āļēāļĄāļŠāļēāļāļąāļāļāļēāļĄāđāļāļāļāļīāļ
āļāļĩāđāļāļđāļāđāļāļĄāļāļĩ āđāļāļĒāđāļāļĢāļĄāđāļ§āļīāļĢāđāļāļāļĩāļāļ°āļŠāļēāļĄāļēāļĢāļāđāļāđāļāļēāļ
āļĢāđāļ§āļĄāļāļąāļāļāļļāļāļāļĢāļāđāđāļāđāļŦāļĨāļēāļĒāļāļĒāđāļēāļ āđāļĄāđāļ§āđāļē SOAR,
EDR, SIEM, firewall, IDS āđāļĨāļ° IPS āđāļāļĒ
āđāļāļĢāļĄāđāļ§āļīāļĢāđāļāļāļąāļāļāļĨāđāļēāļ§āļĒāļąāļāļāđāļ§āļĒāđāļŦāđāđāļāđāļēāđāļ
āļŠāļāļēāļāļāļēāļĢāļāđāļĄāļēāļāļĒāļīāđāļāļāļķāļ āđāļĨāļ°āļŠāļēāļĄāļēāļĢāļāļĒāļļāļāļīāļ āļąāļĒ
āļāļļāļāļāļēāļĄāđāļāđāļāļĢāļāļāļļāļ
This Photo by Unknown Author is licensed under CC BY-SA-NC
12. MITRE ATT&CK Framework : Tactics and Technique
Security Operation Center :
Introduction
- Tactic āđāļāđāļāļāļāļāđāļāļĢāļ°āļāļāļāļāļĩāđāļĄāļļāđāļāđāļāđāļāđāļāļĒāļąāļāļŦāļēāļŠāļēāđāļŦāļāļļ āđāļĨāļ° âāļāļēāđāļĄâ āļāļķāļāđāļāļīāļ
āļ āļąāļĒāļāļļāļāļāļēāļĄāđāļāđ āđāļāļĒ MITRE āđāļāđāļāļēāļŦāļāļāļŦāļĄāļ§āļāļŦāļĄāļđāđāļāļāļ Tactic āđāļ§āđ 11
āļŦāļĄāļ§āļāļŦāļĄāļđāđ
- Technique āđāļāđāļāļāļāļāđāļāļĢāļ°āļāļāļāļāļĩāđāļĄāļļāđāļāđāļāđāļāđāļāļĒāļąāļāļ§āļīāļāļĩ āđāļĨāļ° āđāļāļīāļāļ āļąāļĒāļāļļāļāļāļēāļĄāđāļāđ
âāļāļĒāđāļēāļāđāļĢâ āđāļĒāđāļāđāđāļāđāļāđāļāđāļ 200 āļŠāđāļ§āļ āđāļĨāļ°āļŠāļēāļĄāļēāļĢāļāđāļĒāļāļāļĨāļąāļāđāļāļĒāļąāļ Tactic āđāļāđ
13. āļāļēāļĢāđāļāđāļāļēāļ MITRE ATT&CK
Security Operation Center :
Introduction
1. āļĢāļ°āļāļļāļ āļąāļĒāļāļļāļāļāļēāļĄ āđāļĨāļ°āļāļĨāļļāđāļĄāđāļŪāļāđāļāļāļĢāđ āļāļĩāđāļĄāļļāđāļāļŦāļ§āļąāļāđāļāļĄāļāļĩāļĢāļ°āļāļ āđāļāļ·āđāļāđāļŦāđāļŠāļēāļĄāļēāļĢāļāđāļāđāļēāđāļāļāļāļāđāļāļ
āļāļāļāļāļēāļĢāđāļāđāļēāļĢāļ°āļ§āļąāļ āļĢāļ§āļĄāđāļāļāļķāļ Tactic āđāļĨāļ° Technique āļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļ
2. āđāļāļĢāļĩāļĒāļāđāļāļĩāļĒāļāļāđāļāļĄāļđāļĨāļāļđāđāđāļāļĄāļāļĩāļĢāļ°āļāļāļāļąāļ Matrix āđāļāļ·āđāļāļ§āļīāđāļāļĢāļēāļ°āļŦāđ Tactic āđāļĨāļ° Technique āļāļĩāđ
āđāļŪāļāđāļāļāļĢāđāđāļāđāđāļāļĄāļāļĩāļĢāļ°āļāļ
3. āļ§āļīāđāļāļĢāļēāļ°āļŦāđāļŠāļīāļāļāļĢāļąāļāļĒāđāļāļĩāđāļāļēāļāđāļāđāļĢāļąāļāļāļĨāļāļĢāļ°āļāļāđāļāļĒāđāļāđāļāđāļāļĄāļđāļĨ Tactic āđāļĨāļ° Technique āļāļĩāđ
āļ§āļīāđāļāļĢāļēāļ°āļŦāđ āļĄāļēāļāđāļ§āļĒāļāļąāļāļŠāļīāļāđāļ āđāļāļĒāđāļāļāļēāļ°āļāđāļāļĄāļđāļĨāļāļąāļāļāļ§āļēāļĄāļĨāļąāļ āļāđāļāļĄāļđāļĨāļĢāļ°āļāļāđāļāļĢāļāļŠāļĢāđāļēāļāļāļ·āļāļāļēāļ
āļŠāļēāļāļąāļ āđāļĨāļ°āļāļāļĢāļ°āđāļāļĩāļĒāļāļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļ
4. āļāļąāļāļĨāļēāļāļąāļāļāļēāļĢāļāļēāļāļēāļāđāļāļĒāļāđāļēāļāļāļīāļāļāļēāļĄāļāļĨāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāļĨāļāļĢāļ°āļāļ āđāļāļ·āđāļāđāļŦāđāđāļāļīāļāļāļĢāļ°āļŠāļīāļāļāļīāļāļĨāđāļ
āļāļēāļĢāļāđāļāļāļāļąāļ āļŦāļĢāļ·āļ āļāļ·āđāļāļāļ·āļāļāļēāļāļ āļąāļĒāļāļļāļāļāļēāļĄāđāļāđāļāļāļĢāđ
5. āļāļēāļĢāļāļąāļāļāļēāļāļēāļĢāļāđāļāļāļāļąāļāđāļāđāļāļāļĢāđ āđāļāļĒāļāļĨāļĨāļąāļāļāđāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļ āļąāļĒāļāļļāļāļāļēāļĄāļāļ°āļāđāļ§āļĒāđāļŦāđ SOC
team āļŠāļēāļĄāļēāļĢāļāļĢāļ§āļāļĢāļ§āļĄāļāļąāļāļŦāļēāđāļĨāļ°āđāļāđāđāļāļāļĒāđāļēāļāđāļāđāļāļĨāļēāļāļąāļāļāļąāļāļāļāļ
6. āđāļāđāļēāļĢāļ°āļ§āļąāļ
14. SOC Team roles
Security Operation Center :
Introduction
1. SOC Manager :
2. Threat Hunting Analyst :
3. Red Team :
4. Malware Reverse Engineer :
5. SOC Analyst :
6. OSINT Analyst :
7. SIEM Engineer :
8. SOAR Engineer :
9. Client Security Engineer : (Endpoint Security Engineer)
10. Network Security Engineer :
15. āļāļąāļāļāđāļāļąāđāļāļāļāļ SOC Team
Security Operation Center :
Introduction
1. Identification and Containment
āļāļąāļāļāļāļāđāļĢāļāļāļāļ SOC āđāļāđāļāļāļēāļĢāļāļĢāļ§āļāļāļąāļ incident āļāđāļēāļāđāļāđāļāļāļĢāđ āđāļāļĒ SOC āļāļ°āļāđāļāļāļāļēāļāļ§āļēāļĄāđāļāđāļēāđāļāļŠāļīāļāļāļĢāļąāļāļĒāđāļāļāļāļāļāļāđāļāļĢ āļĢāļ°āļāļ āđāļĨāļ°
āđāļāļāļāļĨāļīāđāļāļāļąāđāļ āđāļāļ·āđāļāđāļŦāđāļŠāļēāļĄāļēāļĢāļāđāļĨāļ·āļāļāļāļēāļĢāļāļāļāļŠāļāļāļāđāļŦāļāļļāļāļēāļĢāļāđāđāļāđāđāļŦāļĄāļēāļ°āļŠāļĄ āđāļāļĒāđāļāļāļēāļ°āļāļąāļāđāļāļĢāļ·āļāļāđāļēāļĒ āđāļĄāļ·āđāļāļāđāļāļāļāļēāđāļāļīāļāļāļēāļĢāļāļēāļāļąāļāļ§āļāļāļāļāļĢāļ°āļāļāļāļĩāđāļĄāļĩ
āļāļēāļĢāļāļĢāļ°āļāļēāļĒāļāļąāļ§āļāļāļāļĄāļąāļĨāđāļ§āļĢāđ
2. Evidence Preservation
SOC team āļāļ°āļāđāļāļāđāļĄāđāđāļāđāļāļāļđāđāļāļēāļĨāļēāļĒāļāļĒāļēāļāļŦāļĨāļąāļāļāļēāļāļāļēāļāļāļīāļāļīāļāļąāļĨ āđāļĨāļ°āļāļ°āļāđāļāļāđāļŦāđāļāļ§āļēāļĄāļĢāđāļ§āļĄāļĄāļ·āļāļāļąāļāļāļĩāļĄ forensics āļāļĩāļĄāļāļāļŦāļĄāļēāļĒ āđāļĨāļ°āļāļĩāļĄāļāļāļāļŠāļāļāļ
āļ āļąāļĒāļāļļāļāļāļēāļĄ āļĢāļ§āļĄāđāļāļāļķāļāļāļēāļĢāļĢāļ§āļāļĢāļ§āļĄ log āļāļē memory dump āđāļĨāļ° snapshot āļāļāļ VM āļāļķāđāļāļāđāļāļāļāļēāļĻāļąāļĒāļāļ§āļēāļĄāđāļāđāļēāđāļāļĢāļ°āđāļāļĩāļĒāļāļāļāļāļāļāļāđāļāļĢāđāļāļāļēāļĢ
āļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāđāļāļĄāļđāļĨ
3. Analyze and Triage
SOC team āļāļ°āļāđāļāļāļ§āļīāđāļāļĢāļēāļ°āļŦāđ evident āļāđāļēāļ āđ āđāļāļ·āđāļāļŦāļēāļāđāļāđāļŦāļāļļāļāļāļāļāļąāļāļŦāļē āļŦāļĢāļ·āļāļāļĢāļ°āđāļ āļāļāļāļāļĄāļąāļĨāđāļ§āļĢāđ āļāļĪāļāļīāļāļĢāļĢāļĄāļāļāļāļĄāļąāļĨāđāļ§āļĢāđ Attack Vector
āđāļĨāļ°āļāļēāļāđāļāļĄāļđāļĨāđāļŦāļĨāđāļēāļāļĩāļĄāļēāļāļąāļāļĨāļēāļāļąāļāļāļ§āļēāļĄāļĢāļļāļāđāļĢāļ (Triage)
16. āļāļąāļāļāđāļāļąāđāļāļāļāļ SOC Team
Security Operation Center :
Introduction
4. Remediation and Recovery
SOC team āļāđāļāļāļāļĢāļēāļāļāļąāļāļāļāļāļāļēāļĢāļāļĢāļĢāđāļāļēāļāļĨāļāļĢāļ°āļāļāļ āļąāļĒāļāļļāļāļāļēāļĄ āđāļĨāļ°āļāļ·āđāļāļāļđāļĢāļ°āļāļ āļ āļēāļĒāļŦāļĨāļąāļāļāļēāļĢāđāļāļĄāļāļĩ āđāļāđāļāļāļēāļĢāļāļēāļāļąāļāļĄāļąāļĨāđāļ§āļĢāđ āļāļēāļĢāļāļīāļ patch
āļĢāļ°āļāļ āļŦāļĢāļ·āļāļāļēāļĢ restore āļĢāļ°āļāļāļĄāļēāļāļēāļ Back up
5. Reporting and Communication
SOC team āļāļēāđāļāđāļāļāļ°āļāđāļāļāļāļąāļāļāļēāļĢāļēāļĒāļāļēāļāđāļŦāļāļļāļāļēāļĢāļāđāļāļĨāļąāļāđāļāļĒāļąāļāļāļđāđāļāļąāļāļāļąāļāļāļąāļāļāļē āļŦāļāđāļ§āļĒāļāļēāļāļāļēāļĄāļāļāļŦāļĄāļēāļĒ āđāļĨāļ°āđāļāđāļēāļāļāļāļĢāļ°āļāļāļāļĩāđāļāļāđāļāđāļēāļĢāļ°āļ§āļąāļ āđāļāļĒ
āļāđāļāļāļĢāļ°āļāļļāļāđāļāđāļŦāļāļļāļāļąāļāļŦāļē āļāļĨāļāļĢāļ°āļāļ āđāļĨāļ°āļāļēāļĢāļāļĢāļĢāđāļāļēāļāļĨāļāļĢāļ°āļāļāļ āļąāļĒāļāļļāļāļāļēāļĄ āđāļāļĒāļāļēāļāļāļ°āļāđāļāļāļĄāļĩāļāļēāļĢāļāļąāļāđāļāļāļŠāļāļēāļāļāļēāļĢāļāđāđāļŦāđāļāļąāļāđāļāđāļēāļāļāļāļĢāļ°āļāļāđāļāđāļ
āļĢāļ°āļĒāļ°
17. āļāļąāļāļāđāļāļąāđāļāļāļāļ SOC Team
Security Operation Center :
Introduction
4. Remediation and Recovery
SOC team āļāđāļāļāļāļĢāļēāļāļāļąāļāļāļāļāļāļēāļĢāļāļĢāļĢāđāļāļēāļāļĨāļāļĢāļ°āļāļāļ āļąāļĒāļāļļāļāļāļēāļĄ āđāļĨāļ°āļāļ·āđāļāļāļđāļĢāļ°āļāļ āļ āļēāļĒāļŦāļĨāļąāļāļāļēāļĢāđāļāļĄāļāļĩ āđāļāđāļāļāļēāļĢāļāļēāļāļąāļāļĄāļąāļĨāđāļ§āļĢāđ āļāļēāļĢāļāļīāļ patch
āļĢāļ°āļāļ āļŦāļĢāļ·āļāļāļēāļĢ restore āļĢāļ°āļāļāļĄāļēāļāļēāļ Back up
5. Reporting and Communication
SOC team āļāļēāđāļāđāļāļāļ°āļāđāļāļāļāļąāļāļāļēāļĢāļēāļĒāļāļēāļāđāļŦāļāļļāļāļēāļĢāļāđāļāļĨāļąāļāđāļāļĒāļąāļāļāļđāđāļāļąāļāļāļąāļāļāļąāļāļāļē āļŦāļāđāļ§āļĒāļāļēāļāļāļēāļĄāļāļāļŦāļĄāļēāļĒ āđāļĨāļ°āđāļāđāļēāļāļāļāļĢāļ°āļāļāļāļĩāđāļāļāđāļāđāļēāļĢāļ°āļ§āļąāļ āđāļāļĒ
āļāđāļāļāļĢāļ°āļāļļāļāđāļāđāļŦāļāļļāļāļąāļāļŦāļē āļāļĨāļāļĢāļ°āļāļ āđāļĨāļ°āļāļēāļĢāļāļĢāļĢāđāļāļēāļāļĨāļāļĢāļ°āļāļāļ āļąāļĒāļāļļāļāļāļēāļĄ āđāļāļĒāļāļēāļāļāļ°āļāđāļāļāļĄāļĩāļāļēāļĢāļāļąāļāđāļāļāļŠāļāļēāļāļāļēāļĢāļāđāđāļŦāđāļāļąāļāđāļāđāļēāļāļāļāļĢāļ°āļāļāđāļāđāļ
āļĢāļ°āļĒāļ°
18. āļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļāđāļāļāļĢāđ
āļāļēāļĄāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĩāđāļāļāļŦāļĄāļēāļĒāļāļēāļŦāļāļ
āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĩāđāļāļāļŦāļĄāļēāļĒāļāļēāļŦāļāļāđāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāđāļāđāļāļāļĢāđ āļŦāļĢāļ·āļāļāļĩāđāđāļĢāļĩāļĒāļāļ§āđāļē NIST Cyber
Security Framework 2.0 āļāļĢāļ°āļāļāļāļāđāļ§āļĒāļŦāđāļēāļāļąāļāļāļāļāļŦāļĨāļąāļāđāļāđāđāļāđ
1.Identify (āļĢāļ°āļāļļ) - āļ āļēāļĒāđāļāļāļąāļāļāļāļāļāļĩ āļāļāļāđāļāļĢāļāļ°āļāđāļāļāļĢāļ°āļāļļāđāļĨāļ°āļāļąāļāļāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļāļāļąāļāļāļēāļĢāļāđāļāļāļāļąāļ
āļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāđāļāđāļāļāļĢāđ āļāļēāđāļāļŠāļđāđāļāļēāļĢāļŠāļĢāđāļēāļāļĢāļ°āļāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļĩāđāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ
2.Protect (āļāđāļāļāļāļąāļ) - āļāļāļāđāļāļĢāļāļ°āļāđāļāļāļāļĢāļąāļāļāļĢāļļāļāļāļēāļĢāļāđāļāļāļāļąāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāđāļĨāļ°āļāļēāļāļąāļāļāļēāļĢāđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨāļāļĩāđāļŠāļēāļāļąāļ
3.Detect (āļāļĢāļ§āļāļāļąāļ) - āļāļāļāđāļāļĢāļāļ°āļāđāļāļāļĄāļĩāļĢāļ°āļāļāļāļĩāđāļŠāļēāļĄāļēāļĢāļāļāļĢāļ§āļāļāļąāļāļāļ§āļēāļĄāļāļīāļāļāļāļāļīāļŦāļĢāļ·āļāļāļēāļĢāđāļāļĄāļāļĩāđāļāđāļ§āļĨāļēāļāļąāļāļŠāļąāļ
4.Respond (āļāļāļāļŠāļāļāļ) - āļāļāļāđāļāļĢāļāļ°āļāđāļāļāļĄāļĩāđāļāļāļāļēāļĢāļāļāļāļŠāļāļāļāļāļĩāđāļāļąāļāļāđāļ§āļāļāļĩāļāđāļāļāļēāļĢāđāļāļĄāļāļĩāļāļēāļāđāļāđāļāļāļĢāđ
5.Recover (āļāļ·āđāļāļāļđ) - āļāļāļāđāļāļĢāļāļ°āļāđāļāļāļĄāļĩāđāļāļāļāļēāļĢāļāļ·āđāļāļāļđāļāļĩāđāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļāđāļāļāļēāļĢāļāļēāļāļēāļāļāļĨāļąāļāļāļ·āļāļŠāļđāđāļāļāļāļīāļŦāļĨāļąāļāļāļēāļ
āļāļ§āļēāļĄāđāļŠāļĩāļĒāļŦāļēāļĒāļāļĩāđāđāļāļīāļāļāļēāļāļāļēāļĢāđāļāļĄāļāļĩ
NIST csf ver 2.0 āļāļēāļŦāļāļāđāļŦāđāļāļēāļĢāļ§āļēāļāļāđāļĒāļāļēāļĒāļāļ§āļāļāļļāļĄ (Govern) āļĄāļāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļāļāļāļāļāđāļāļĢ, āļāļĨāļāļĢāļ°āļāļāļŦāļēāļ
āđāļāļīāļāļ āļąāļĒāđāļāđāļāļāļĢāđ, āđāļĨāļ°āđāļāđāļēāļŦāļĄāļēāļĒāļāļāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒ āđāļāđāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļąāļāļāļāļāļāļĩāđ 0 āļŦāļĢāļ·āļāđāļāđāļāļāļēāļāļāļēāļāļāļĩāđ
āļāļ§āļĢāđāļāļīāļāļāļķāļāđāļāļāļļāļ āđ āļāļąāļāļāļāļāļāđāļāļāļŦāļāđāļēāļāļĩ
Security Operation Center :
Introduction
19. āđāļāļāļąāļāļāļāļāļāļāļāļāļēāļĢāļāļē Governance āļāļąāļ āļĢāļ§āļĄāđāļāļāļķāļāļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđāļāļēāļĢāļāļēāļāļēāļ
āļāļāļ SOC team āļ§āđāļēāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ āđāļĨāļ°āļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļāļĨ āļāļĩāđāļāļāļāđāļāļĢāļĢāļąāļāđāļāđ āļāļķāđāļāļĢāļ§āļĄ
āđāļāļāļķāļāļāļĢāļąāļāļĒāļēāļāļĢāļāđāļ āļēāļĒāđāļ SOC āđāļĨāļ° āļāļĢāļ§āļāļŠāļāļāļāļąāļāļāļāļāļāļāļāļāļēāļĢāļāļāļāļŠāļāļāļāļ āļąāļĒ
āļāļļāļāļāļēāļĄāđāļāđāļāļāļĢāđ āļāļēāļĄāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļāļāļāļāļāđāļāļĢāļāļĒāđāļēāļāļŠāļĄāđāļēāđāļŠāļĄāļ
āđāļāļĒ SOC team āļāļ°āļāđāļāļāļāļēāļāļēāļāļāļĢāļ°āļŠāļēāļāļāļąāļāļŦāļāđāļ§āļĒāļāļēāļāļāļ·āđāļ āđ āļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļ āđāļĄāđ
āļ§āđāļēāļāļ°āđāļāđāļāļāđāļēāļāđāļāļāđāļĨāļ°āļāļĨāļĒāļļāļāļāđāļāļāļāđāļāļĢ āđāļĨāļ° āļāđāļēāļāļāļĢāļ°āļāļēāļŠāļąāļĄāļāļąāļāļāđ āļĒāļāļāļąāļ§āļāļĒāđāļēāļ
āđāļāđāļ āļŦāļāđāļ§āļĒāļāļēāļāļāđāļēāļāļāļāļŦāļĄāļēāļĒ āđāļāļ·āđāļāđāļŦāđāļāļąāļāļāļāļāļāļēāļĢāļāļēāļāļēāļāļŠāļāļāļāļĨāđāļāļāļāļąāļ
āļāļāļŦāļĄāļēāļĒāļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļ āđāļāđāļ āļāļĢāļ.āđāļāđāļāļāļĢāđ āļŦāļĢāļ·āļ āļāļĢāļ.āļāļļāđāļĄāļāļĢāļāļāļāđāļāļĄāļđāļĨāļŠāđāļ§āļāļāļļāļāļāļĨ
āļāļķāđāļāļāļđāļāļāļąāļāļāļąāļāđāļāđāļ āļēāļĒāđāļāļāļĢāļ°āđāļāļĻ āđāļĨāļ°āļāļāļāļāļĢāļ°āđāļāļĻ
Security Operation Center :
Introduction
20. Best Practice for compliance and governance in SOC Operations
Security Operation Center :
Introduction
- āļāļēāđāļāļīāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāđāļĨāļ°āđāļāđāđāļāļĢāļ°āđāļāļĩāļĒāļ āļāđāļĒāļāļēāļĒ āđāļĨāļ°āļāđāļāļāļāļīāļāļąāļāļīāļāļāļāļāļāļāđāļāļĢ āđāļāļ·āđāļāđāļŦāđ
āļŠāļāļāļāļĨāđāļāļāļāļēāļĄāļāļāļŦāļĄāļēāļĒāļāļĩāđāđāļāļĩāđāļĒāļ§āļāđāļāļ āđāļĨāļ° āļĄāļēāļāļĢāļāļēāļāļāđāļēāļ āđ
- āļāļēāļŦāļāļāļāļēāļĢāļāļķāļāļāļ āđāļĨāļ°āļŠāļĢāđāļēāļāļāļ§āļēāļĄāļāļĢāļ°āļŦāļāļąāļāļĢāļđāđ āđāļŦāđ SOC team āļĄāļĩāļāļ§āļēāļĄāļĢāļđāđāļāļĒāđāļēāļāđāļāļĩāļĒāļāļāļ āđāļĨāļ°
āđāļāđāļāļāļąāļāļāļļāļāļąāļ
- āļāļēāļŦāļāļāđāļāļ§āļāļēāļāļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢāļāļĩāđāļāļąāļāđāļāļāļĢāļ°āļŦāļ§āđāļēāļ SOC team āđāļĨāļ° āļŦāļāđāļ§āļĒāļāļēāļāļāļ·āđāļ āđ āļāļĩāđāļāđāļāļ
āļāļēāļāļēāļāļĢāđāļ§āļĄāļāļąāļ āđāļāļ·āđāļāđāļŦāđāđāļāļīāļāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ āđāļĨāļ°āļĨāļāļāļēāļĢāļŠāļ·āđāļāļŠāļēāļĢāļāļīāļāļāļĨāļēāļ
- āđāļŦāđāđāļāđāļēāļĢāļ°āļ§āļąāļ āđāļĨāļ°āļ§āļīāđāļāļĢāļēāļ°āļŦāđ āđāļŦāļāļļāļāļēāļĢāļāđ āđāļĨāļ°āļāļēāļĢāđāļāđāļāđāļāļ·āļāļāļāļĩāđāļĄāļĩāļāļĨāļāļĢāļ°āļāļāļāļēāļĄāļāļāļŦāļĄāļēāļĒ āļŦāļĢāļ·āļ
āļāđāļāļĢāļ°āđāļāļĩāļĒāļāļāđāļēāļ āđ
- āļāļ§āļĢāļāļēāđāļāļīāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļ āļāļēāļĢāļāļēāļāļēāļāļ āļēāļĒāđāļ SOC team āļāļēāļĄāļ§āļāļĢāļāļāļŠāļĄāđāļēāđāļŠāļĄāļ āđāļāļ·āđāļāđāļŦāđ
SOC Operation āļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļāļāļēāļĄāļāđāļĒāļāļēāļĒāļāļāļāļāļāļāđāļāļĢ
This Photo by Unknown Author is licensed under CC BY-NC-ND
21. SOC process for EDR
Security Operation Center :
Introduction
1. Install EDR :
2. Build Use Case :
3. Detect Potential Threats :
4. Activate SOPs :
5. Combine EDR with SOAR :
22. SOC Procedure
Security Operation Center :
Introduction
1. Standard Operating Procedures (SOPs)
āđāļāđāļāđāļāļāļŠāļēāļĢāļŠāļēāļŦāļĢāļąāļ SOC team āđāļāđāļāļāļīāļāļąāļāļīāļāļēāļĄ āđāļĨāļ°āļāļēāđāļāđāļ āļĢāļ°āđāļāļĩāļĒāļāļāļĢāļ°āļāļēāļ§āļąāļ āđāļāļĒ SOPs āļāļ°āđāļāđāļāļāļąāļāļāļāļāļāļĩāđāļāļēāļāļĒāđāļēāļāđāļāđāļāļāļĢāļ°āļāļē āđāļĨāļ°āļāđāļāļāļāļēāļĢ
āļāļ§āļēāļĄāđāļĄāđāļāļĒāļē āđāļāļĒ SOPs āļāļ°āļāđāļāļāļĄāļĩāļāļēāļĢāđāļāđāđāļāđāļŦāđāļŠāļāļāļāļĨāđāļāļāļāļąāļāđāļāļāđāļāđāļĨāļĒāļĩ āđāļĨāļ°āļāļąāļāļāļāļāļāļēāļĢāļāļēāļāļēāļāđāļ SOC
2. Checklist āđāļĨāļ° Playbook
āđāļāđāļāļāļąāļāļāļāļāļāļĩāđ SOC team āļāđāļāļāļāļāļīāļāļąāļāļīāļāļēāļĄ āļāļķāđāļāļĄāļąāļāļāļ°āļŦāļĄāļēāļĒāļāļķāļāļāļēāļĢāļāļĩāļāļ§āļēāļĄāļāļāļŦāļĄāļēāļĒ āļŦāļĢāļ·āļāļĢāļ°āđāļāļĩāļĒāļ āđāļĨāđāļ§āļāļēāđāļāļāđāļāđāļāļŠāļāļēāļāļāļēāļĢāļāđāļāđāļēāļ āđ āļāļēāļĄ
Incident āļāļĩāđāļāļĢāļ§āļāđāļāļ āļāļąāļāļāļĩ Checklist āļāļ°āļāđāļ§āļĒāļĨāļāļāļ§āļēāļĄāļāļīāļāļāļĨāļēāļāļāļāļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļāđāļāđāđāļāđāļāļāļĒāđāļēāļāļāļĩ
3. Table Top Exercise
āđāļāđāļāļāļēāļĢāļāļķāļāļāļāļŠāļēāļŦāļĢāļąāļāđāļŦāđ SOC team āļŠāļēāļĄāļēāļĢāļāļāļļāđāļāđāļāļĒāļāļąāļ SOPs āđāļĨāļ° Playbook āļāđāļēāļ āđ āļāļĩāđāđāļāđāļāļēāļāļ āļēāļĒāđāļ SOC āđāļāđāđāļāđāļāļāļĒāđāļēāļāļāļĩ
23. Security Monitoring
Security Operation Center :
Introduction
1. āļāļēāļŦāļāļāļŦāļāđāļēāļāļĩāđ āđāļĨāļ°āļāļ§āļēāļĄāļĢāļąāļāļāļīāļāļāļāļ
āļāļēāļĢāļāļē Security Monitoring āļāļĒāđāļēāļāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ āļāļ°āļāđāļāļāļāļēāļŦāļāļāļŦāļāđāļēāļāļĩāđāđāļĨāļ°āļāļāļāļēāļāļāļĩāđ
āļāļąāļāđāļāļ āļāļķāđāļāļ āļēāļĒāđāļ SOC team āļāļ°āļĄāļĩāļāļēāļĢāļāļēāļŦāļāļāļāļāļāļĩāđāļĢāļąāļāļāļīāļāļāļāļāđāļāļāļēāļĢāļāļđāđāļĨāļĢāļ°āļāļāļāđāļēāļ āđ
āļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđ āđāļĨāļ°āļāļāļāļŠāļāļāļāļāđāļāļ āļąāļĒāļāļļāļāļāļēāļĄ
2. SOPs
āļāļēāļĢāļŠāļĢāđāļēāļ SOPs āļāļĩāđāļāļĩ āļāļ°āļāđāļ§āļĒāđāļŦāđāļāļēāļĢāļāļē Security Monitoring āđāļāļĒ SOC āļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ
āđāļāļĒ SOPs āļāļ°āļāđāļāļāļĄāļĩāļāļēāļĢāļĢāļ°āļāļļāļāļąāļāļāļāļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļĒāđāļēāļāļāļĢāļāļāļāļĨāļļāļĄ
3. Automation āđāļĨāļ° Technology
āļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļāđāļ SOC team āļĄāļąāļāļāļēāļĻāļąāļĒ Automation āļāļēāļāļ§āļāļĄāļēāļ āļāļķāđāļāļāļēāļĢāļāļāļŠāļ āļēāļāđāļŦāđ
Automation āđāļŦāļĨāđāļēāļāļąāļāđāļāđāļāļēāļāđāļāđāđāļĨāļ°āļāļąāļāļŠāļĄāļąāļĒ āļāļ°āļāđāļ§āļĒāđāļŦāđ SOC team āļĄāļĩāđāļ§āļĨāļēāđāļāļāļēāļĢ
āļ§āļīāđāļāļĢāļēāļ°āļŦāđāļ āļąāļĒāļāļļāļāļāļēāļĄāđāļŦāļĄāđ āđ āđāļāđāļĄāļēāļāļāļķāļ āđāļĨāļ°āļĨāļāļāļ§āļēāļĄāļāļīāļāļāļĨāļēāļāļāļāļāļĢāļ°āļāļāđāļāđ
24. SOC Use-Cases
Security Operation Center :
Introduction
1. Advanced Persistent Threat (APT) attack : āđāļāđāļāļāļēāļĢāđāļāļĄāļāļĩāļāļāļāđāļŪāļāđāļāļāļĢāđ āļāļĩāđāļāļēāļĻāļąāļĒāļĢāļ°āļĒāļ°āđāļ§āļĨāļēāđāļāļāļēāļĢāļāđāļāļĒāđ āļāļąāļāļāļąāļ§āļĄāļēāđāļāļĢāļ°āļāļ āđāļĨāđāļ§āļāđāļāļĒāđ
āļāļāļīāļāļąāļāļīāļāļēāļĢ āđāļāđāļāļāđāļĄāļĒāļāđāļāļĄāļđāļĨ āļŦāļĢāļ·āļāļĒāļļāļāļīāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļĢ āđāļāļĒāļāļĨāļļāđāļĄ State Sponsored āļĄāļąāļāļāļ°āļĄāļĩāļāļēāļĢāđāļāđāļ§āļīāļāļĩ APT āđāļāļ·āđāļāđāļĨāļĩāđāļĒāļāļāļēāļĢāļāļĢāļ§āļāļāļąāļāđāļĨāļ° āļāļąāļāļāļēāļĢāđāļāđ
āļĒāļēāļ
2. Phishing āđāļĨāļ° Social Engineering : āđāļŪāļāđāļāļāļĢāđāđāļāđāļ§āļīāļāļĩāļāļēāļĢāļāļēāļāļāļīāļāļ§āļīāļāļĒāļēāđāļāļāļēāļĢāļŦāļĨāļāļāļĨāļ§āļ āļŦāļĨāļāļāļĨāđāļ āđāļŦāđāļāļđāđāđāļāđāļāļēāļāļŦāļĨāļāļāļĨ āđāļāļĒāļĄāļļāđāļāđāļāđāļāđāļāļĒāļąāļāļāļēāļĢ
āļāđāļĄāļĒāļāđāļāļĄāļđāļĨ āļŠāļīāļāļāļĢāļąāļāļĒāđāļāļāļāļāļđāđāđāļāđ āđāļĨāļ°āļŦāļĨāļāļāđāļŦāđāļāļīāļāļāļąāļāļāļļāļāļāļēāļŠāļąāđāļāđāļāļĨāļāļāļĨāļāļĄāļĨāļāđāļāļĢāļ°āļāļ
3. Ransomware Attack : āļāļĪāļāļīāļāļĢāļĢāļĄāļāļāļ ransomware āļāļ·āļāļāļēāļĢāđāļāđāļēāļĢāļŦāļąāļŠāļāđāļāļĄāļđāļĨ āļāļēāļāļāļąāļāđāļĢāļĩāļĒāļāļāđāļēāđāļāđ āđāļāļ·āđāļāđāļŦāđāđāļĨāļāļāļąāļāļāļļāļāđāļāđāļāļāļēāļĢāļāļāļāļĢāļŦāļąāļŠāļāđāļāļĄāļđāļĨ
āļ āļēāļĒāđāļāđāļāļĢāļ·āđāļāļāļāļĩāđāļāļđāļāđāļāļĄāļāļĩ
4. Supply Chain Attack āļĢāļ§āļĄāđāļāļāļķāļ āļāļēāļĢāļāļē sourcecode āļāļāļāļāļđāđāđāļŦāđāļāļĢāļīāļāļēāļĢāļ āļēāļĒāļāļāļāļĄāļēāđāļāđāļāļēāļāđāļāļĒāđāļĄāđāđāļāđāļāļĢāļ§āļāļŠāļāļ āļĄāļąāļāļāļ°āļāļēāđāļŦāđāļĄāļĩāļāđāļāļāđāļŦāļ§āđāļāļĩāđāđāļĄāđāđāļāđ
āļāļ§āļāļāļļāļĄāđāļāļĒāļāļāļāđāļāļĢ
5. DDOS
6. Insider Threats : āđāļāļĒāļāļēāļĢāļāļļāļāļāļēāļĄāļāļĢāļ°āđāļ āļāļāļĩāđāļāļīāļāļāļēāļāļāļāļ āļēāļĒāđāļāļāļāļāđāļāļĢ āļŦāļĢāļ·āļāļāļđāđāļŠāļąāļāļāļē āļāļĩāđāļĄāļĩāļāļĪāļāļīāļāļĢāļĢāļĄāļāļĢāļ°āļŠāļāļāđāļĢāđāļēāļĒāļāđāļāļāļāļāđāļāļĢ āđāļāļĒāļāļāļāđāļāļĢāļāđāļēāļĄ
āļāļēāļāļīāļĄāļąāļāļāļ°āļĄāļĩāļ āļąāļĒāļāļļāļāļāļēāļĄāļāļĢāļ°āđāļ āļāļāļĩāđāļāļ·āđāļāļāļāļēāļāļĄāļĩāļāļ§āļēāļĄāļāļąāļāļāđāļāļāļāļāļāļāļđāđāļŠāļąāļāļāļē āđāļĨāļ°āļāļ·āļāļāļĩāđāļāļĒāļđāđāļŦāđāļēāļāđāļāļĨāļāļēāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļ