Mostraremos hoje as atividades típicas que os analistas do SOC ( Centro de Operações de Segurança ) realizam todos os dias para proteger suas organizações contra ameaças cibernéticas em constante evolução e os conjuntos de habilidades que são úteis para desempenhar com eficácia essa função.
Um analista de SOC é um profissional treinado cujo objetivo principal é detectar e mitigar ameaças cibernéticas à rede de uma organização. Quando uma organização é vítima de um ataque cibernético, esses profissionais são os primeiros a responder, geralmente com estratégias de segurança pré-planejadas que às vezes requerem improvisação para mitigar a ameaça e minimizar os danos causados.
Eles também são os conselheiros de segurança da organização, coordenando-se com outros departamentos e identificando ameaças em processos, programas e sistemas existentes, enquanto tomam as medidas necessárias para melhorar a segurança da rede em geral.
Responsabilidades de um analista SOC
Os analistas de SOC precisam estar atentos aos detalhes e amplo conhecimento em conceitos de segurança cibernética, como análise de malware, segurança de rede, resposta a incidentes, engenharia reversa e práticas recomendadas de segurança cibernética. Espera-se que eles analisem os eventos que acontecem em uma rede e, subsequentemente, identifiquem, entendam e retifiquem ameaças à segurança cibernética. Além das ameaças em tempo real, os analistas do SOC devem estar munidos de conhecimento para analisar com eficácia as vulnerabilidades de hardware e software não divulgadas.
Algumas outras responsabilidades críticas incluem:
- Monitorar e analisar sistemas de detecção de intrusão (IDSs) e sistemas de prevenção de intrusão (IPSs).
- Analisar o tráfego e os registros da rede.
- Detecção de ameaças internas e ameaças persistentes avançadas (APTs).
- Analiar malware e realizar análises forenses.
- Diferenciar tentativas de intrusão de alarmes falsos.
- Rastrear investigações e resolver ameaças.
- Redigir notificações de alerta de segurança.
- Aconselhar respondentes a incidentes e outras equipes sobre ameaças.
5 tarefas diárias de um analista SOC
Geralmente, as equipes SOC operam em turnos diferentes o tempo todo. Quando um analista inicia seu turno, a primeira coisa que obtém é um briefing da atividade de segurança e informações dos analistas do turno anterior. Qualquer incidente suspeito é relatado ao analista que chega, para que possa ser rastreado posteriormente.
Depois disso, um dia de trabalho típico para um analista SOC envolve as cinco tarefas seguintes:
- Monitorar e analisar o tráfego da rede em tempo real para atividades suspeitas.
- Caçar ameaças de forma proativa com base em inteligência de ameaças, contexto de negócios e dicas comportamentais.
- Trabalhar com diferentes estruturas de segurança cibernética, como gerenciamento de eventos e informações de segurança (SIEM) e a biblioteca de infraestrutura de TI (ITIL) para monitorar ameaças internas e detectar APTs.
- Coordenar com outras equipes para garantir a segurança geral da rede.
- Responder a incidentes de segurança relatados.
Ferramentas usadas por analistas SOC
Para proteger e monitorar uma rede com eficácia, existem muitas ferramentas que a equipe SOC deve usar, manter e atualizar regularmente. Algumas ferramentas usadas pelas equipes SOC são sistemas de detecção de intrusão (IDSs), sistemas de prevenção de intrusão (IPSs), firewalls de última geração (NGFWs) e ferramentas de análise de log.
Além dessas, uma das ferramentas mais importantes que as equipes de SOC usam é uma solução SIEM. Para ajudar as equipes SOC a operar de forma eficiente, uma solução SIEM deve:
- Coletar dados de gerenciamento de operações de TI e ferramentas de análise de comportamento de usuários e entidades (UEBA) para detecção rápida de incidentes.
- Exibir informações em painéis analíticos em tempo real para detecção imediata de incidentes.
- Gerenciar fluxos de trabalho automaticamente com ações de fluxo de trabalho predefinidas.
- Oferecer sistemas de bilhetagem integrados e comunicar-se com o ITIL.
- Assegurar a responsabilidade na resolução de incidentes.
Você está procurando uma solução de SIEM abrangente que inclua todos os recursos acima? Faça já o upgrade ou inicie sua avaliação gratuita de 30 dias do Log360 da ManageEngine, contando sempre com o apoio da equipe ACSoftware.
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.