Um analista de centro de operações de segurança (SOC) é parte integrante de uma equipe responsável por mantera empresa protegida contra crimes cibernéticos. O analista SOC é um profissional de segurança que lida com as coisas boas e ruins, detectando e gerenciando ameaças cibernéticas.
As equipes são mantidas em alerta devido ao grande volume de eventos de segurança que precisam ser investigados todos os dias. Esses membros desempenham um papel vital na prevenção de ataques e no reforço de defesas da empresa. Então, como exatamente é o dia de um analista?
As funções de um analista SOC
Vamos examinar mais de perto as principais funções de um analista de SOC.
-
- Gerenciar notificações de alerta
Os analistas do SOC normalmente enfrentam uma enxurrada de alertas de segurança todos os dias. Podem ser ferramentas de gerenciamento de informações e eventos de segurança (SIEM) sinalizando alertas devido a anomalias, regras de correlação ou apenas configurações de alerta regulares. O analista verifica cada incidente e a causa. Ele deve diferenciar constantemente entre ameaças genuínas e alarmes falsos. Sempre há o risco de perder um incidente importante em meio à multidão de alarmes falsos.
-
- Impedir um ataque de segurança
Ao detectar atividades anômalas, o analista do SOC a investiga imediatamente e evita que a ameaça cause estragos na rede. Isso pode envolver a detecção de ameaças persistentes avançadas (APT) ou malware oculto na rede e eliminá-los antes que causem danos.
Para isso, o analista deve ter habilidade suficiente para discernir as atividades que podem valer a pena investigar entre as milhares de notificações que recebem. Isso requer que o ele esteja familiarizado com a topologia de rede e tenha experiência suficiente no tratamento de ameaças à segurança.
-
- Resposta ao incidente
Os analistas de SOC precisam ser capazes de colocar a empresa de pé novamente após um ataque cibernético. Isso pode significar minimizar a extensão do ataque, restringindo sua atividade na rede. Também envolve a tomada de decisões para limitar o custo e o tempo de recuperação.
-
- Caça de ameaças
Os analistas do SOC precisam caçar proativamente as ameaças na rede. Ela é conduzida com base nas informações de feeds de inteligência de ameaças, uma fonte de dados constantemente atualizada sobre sites infectados, ciberataques recentes e assim por diante.
Dependendo de seu nível de experiência, um analista pode estar fazendo coisas diferentes. Esses níveis de antiguidade são chamados de níveis e há funções específicas associadas a cada um deles.
Nível 1:
-
Esta é a posição mais júnior da equipe. Essa pessoa seria responsável por monitorar a rede usando ferramentas SIEM e responder a alertas sobre incidentes de segurança. Eles também precisam conduzir a triagem e verificar a gravidade dos alertas. Eles também devem realizar varreduras periódicas de vulnerabilidade na rede e gerar relatórios de avaliação.
Nível 2:
-
Essa pessoa é responsável por realizar uma análise mais profunda dos incidentes de segurança. Eles se coordenam com a equipe de inteligência de ameaças para compreender a natureza e a extensão do ataque. Eles também devem encontrar maneiras de mitigar ou remediar o ataque
Nível 3:
-
Este nível requer uma pessoa experiente que use ferramentas de teste de penetração para entender as vulnerabilidades na rede. Eles também são responsáveis por realizar a busca avançada para detectar ameaças potenciais ocultas na rede.
O analista de SOC trabalhe incansavelmente na linha de frente da batalha contra o cibercrime empresarial. Embora a vigilância constante faça parte do perfil, proteger as empresas pode ser um trabalho gratificante. Durante uma época de aumento dos ataques cibernéticos, os especialistas em segurança podem salvar ou destruir uma empresa!
Descrição do trabalho de um analista SOC
Abaixo, você verá a descrição de trabalho típica de um analista SOC.
Experiência:
-
Trabalhando em uma função de segurança de rede.
-
No uso de ferramentas SIEM e conhecimento em detecção e resposta de endpoint (EDR).
-
Uma compreensão aprofundada do panorama da ameaça cibernética, das vulnerabilidades e dos riscos.
-
No uso de ferramentas forenses.
Deveres
-
Deve estar disponível para trabalhar em diferentes turnos 24 horas por dia.
-
Executar a busca de ameaças e análise de malware periodicamente.
-
Educar-se sobre ataques cibernéticos existentes e emergentes.
-
Trabalhar em estreita colaboração com outros departamentos para mitigar incidentes de segurança.
Por serem uma chave tão importante na segurança das empresas, é importante que os analistas sejam respaldados por ferramentas de qualidade e que esteja a disposição para facilitar a detectação de ameaças e fornecer visibilidade total de tudo o que acontece nas empresas.
Para saber mais sobre tudo o que uma ferramenta de monitoramento de endpoints pode te oferecer, confira nossa página do Log360, uma solução completa de monitoramento e auditoria.
Nota : Esse conteúdo foi traduzido do nosso site em inglês e está replicado nos sites dos nossos parceiros também.