TryHackMe (THM) - SOC基础知识

期望：

1. 了解什么是 SOC 及其在网络安全中的重要性。
2. 了解 SOC 的三大支柱：人员、流程和技术。
3. 获得使用 SIEM 工具分析安全事件的实践经验。
4. 完成测验和任务以强化学习。

SOC 简介

SOC 是一个设施，专门的安全团队会全天候监控和保护组织的 IT 环境。

• SOC 团队通过识别和应对可疑活动来防止损害。
• 现代 SOC 注重检测和响应，而不是仅仅依赖传统的安全实践。

测验答案：

• SOC 代表什么？Security Operations Center

目的和组成部分

此任务重点关注 SOC 如何保持检测和响应以防止安全事件。它介绍了核心 SOC 活动，例如：

• 检测漏洞、未经授权的活动、违反政策和入侵。
• 支持事件响应以最大限度地减少影响并找到根本原因。

关键概念：SOC 的三大支柱是人员、流程和技术。

测验答案：

• SOC 团队发现未经授权的用户正在尝试登录。这是什么能力？Detection
• SOC 的三大支柱是什么？People, Process, Technology

人员

这项任务强调了 SOC 团队成员的层次结构和职责。
SOC 团队中的角色：

┌─────────────────────────────────────────────────────────────────────────────┐
│                               SOC 团队结构                                    │
├─────────────────────────────────────────────────────────────────────────────┤
│ 管理层                                                                         │
│  ├─ 安全运营总监：整体战略规划与团队管理                                       │
│  └─ 安全分析经理：监督日常运营与分析师团队                                     │
├─────────────────────────────────────────────────────────────────────────────┤
│ 分析师层                                                                       │
│  ├─ L1 分析师：监控警报、初步分析与分诊                                         │
│  ├─ L2 分析师：深入调查、威胁响应与事件处置                                     │
│  └─ L3 分析师：高级威胁 hunting、漏洞研究与应急响应                             │
├─────────────────────────────────────────────────────────────────────────────┤
│ 技术专家层                                                                     │
│  ├─ 威胁情报专家：收集分析威胁情报、关联内部事件                                 │
│  ├─ 事件响应专家：主导重大安全事件应急处理与恢复                                 │
│  ├─ 漏洞管理专家：协调漏洞评估、修复优先级与跟踪                                 │
│  └─ 安全工具工程师：维护与优化 SIEM、EDR 等安全基础设施                           │
├─────────────────────────────────────────────────────────────────────────────┤
│ 支持层                                                                         │
│  ├─ 合规专员：确保安全操作符合行业法规与内部政策                                 │
│  └─ 安全顾问：提供专业安全建议与跨部门协作                                         │
└─────────────────────────────────────────────────────────────────────────────┘

角色协作流程

SOC 分析师（1 级）：对警报进行分类的急救人员。

SOC 分析师（2 级）：进行更深入的调查并关联数据。

SOC 分析师（3 级）：主动搜寻威胁并协助事件响应。

安全工程师：部署和配置安全解决方案。

检测工程师：创建检测恶意活动的规则。

SOC 经理：管理流程并更新组织的领导力。

测验答案：

警报分类和报告是谁的责任？
SOC Analyst (Level 1)

哪个角色负责建立检测规则？
Detection Engineer

任务 4：流程

此任务讨论关键 SOC 流程，包括：

警报分类：使用5W 原则分析警报并确定其优先级：什么、何时、何地、谁、为什么。

报告：升级有害警报通过有证据的详细票证。

事件响应和取证：处理关键安全事件并调查其根本原因。

例子：

在GEORGE PC上检测到的恶意软件警报可能如下所示：

什么？检测到恶意文件。

什么时候？ 2024年6月5日13:20。

在哪里？ GEORGE PC 上的目录。

谁？用户 George。

为什么？因为用户下载了盗版软件。

测验答案：

如果约翰试图窃取系统数据，这回答了哪个“W”？Who

SOC团队检测到大规模数据泄露。这是哪个“W”？What

任务5：技术

技术是SOC的支柱。它使团队能够集中监控并自动响应安全威胁。

关键工具：

SIEM（安全信息和事件管理）：收集并关联日志以识别可疑活动。

EDR（端点检测和响应）：提供端点活动的可见性并自动执行响应。

防火墙：监控和过滤传入/传出流量以防止未经授权的访问。

测验答案：

哪种安全解决方案可以监控网络流量？Firewall

SIEM 解决方案是否专注于检测和警报安全事件？
是的

本课程将讲解在 SOC 环境中工作所需的基础技能。关键要点：

SOC 团队检测、调查并响应事件以保护组织资产。

人员、流程和技术之间的有效沟通和协作至关重要。

实践练习模拟真实世界的场景，增强理解。