TryHackMe-SOC-Section 2：SOC团队内部

目录

• Section 2：SOC团队内部
  
  
  
  • SOC L1 警报分类
    
    
    
    • 介绍
      
    • 事件和报警
      
      
      
      • 从事件到警报
        
      • L1 在警报分诊中的作用
        
      
      
    • 警报属​​性
      
    • 警报优先级
      
      
      
      • 
        
        
        
        • 选择合适的警报
          
        
        
      
      
    • 警报分类
      
      
      
      • 
        
        
        
        • 初步行动
          
        • 调查
          
        • 最终行动
          
        
        
      • 结论
        
      
      
    
    
  • SOC L1 警报报告
    
    
    
    • 介绍
      
    • 预警漏斗
      
    • 报告指南
      
      
      
      • 报告格式
        
      
      
    • 升级指南
      
      
      
      • 请求二级支持
        
      • SOC控制面板升级
        
      
      
    • SOC通信
      
      
      
      • 沟通案例
        
      • L2 沟通
        
      
      
    • 结论
      
    
    
  • SOC 工作簿和查找
    
    
    
    • 介绍
      
    • 资产与身份
      
      
      
      • 身份清单
        
      • 资产清单
        
      
      
    • 网络图
      
    • 练习册理论
      
      
      
      • SOC工作簿
        
      • 工作簿示例
        
      
      
    • 练习
      
    
    
  • SOC指标和目标
    
    
    
    • 介绍
      
    • 核心指标
      
      
      
      • 警报数量
        
      • 假阳性率
        
      • 警报升级率
        
      • 威胁检测率
        
      
      
    • 分诊指标
      
      
      
      • 参考表
        
      
      
    • 改进指标
      
      
      
      • 
        
        
        
        • 参考表
          
        
        
      
      
    • 练习
      
    
    
  
  

Section 2：SOC团队内部

探索 SOC 分析师必备的技能，帮助您在真实的 SOC 环境中对警报进行分类、分级和升级。
SOC L1 警报分类

介绍

警报是任何安全运营中心 (SOC)团队的核心概念，能否正确处理警报最终决定了安全漏洞能否被检测和预防，还是会被遗漏并造成灾难性后果。本课程是SOC L1 分析师入门阶段必不可少的学习内容，旨在帮助他们理解警报的概念和生命周期，从事件生成到正确解决。

• 学习目标
  
  
  
  • 熟悉SOC警报的概念
    
  • 探索警报字段、状态和分类
    
  • 学习如何作为一级分析师执行警报分类
    
  • 使用真实警报和SOC工作流程进行练习
    
  
  
• SOC仪表盘
  您已获得TryHackMe SIEM中SOC控制面板的访问权限，您需要使用它来完成大部分任务。请在新窗口中打开附件网站，熟悉其功能，然后继续执行下一个任务！
  
  
  
  

事件和报警

想象一下，你是一名安全运营中心(SOC)实习生，正看着你的导师——一位SOC一级或二级分析师——的显示器，屏幕上不断出现数百条警报，它们在不同的状态下移动，最终从某个仪表盘或控制台中消失。你注意到很多名为“电子邮件被标记为钓鱼邮件”的警报，一些名为“异常的 Gmail 登录位置”的警报，以及一条令人担忧的、位于红色列中的“未经授权的 Mimikatz 使用”警报。这些警报是什么？它们是如何生成的？我们应该如何处理它们？让我们一起来一探究竟！

从事件到警报

首先，必须发生某个事件，例如用户登录、进程启动或文件下载。然后，系统（例如操作系统、防火墙或云服务提供商）必须记录该事件。之后，所有系统日志必须发送到安全解决方案，例如SIEM或EDR。SOC团队每天会收到来自数千个不同系统的数百万条日志，其中大多数事件都在预期之内，但有些事件需要特别关注。 警报（由安全解决方案在特定事件或事件序列发生时生成的通知）通过突出显示可疑的异常事件，使SOC分析师无需手动审查日志。有了警报，分析师每天只需处理几十条警报，而不是数百万条原始日志。
警报管理平台
解决方案示例描述SIEM  
系统Splunk ES、   
ElasticSIEM具有强大的告警管理功能，是大多数SOC团队的理想选择。EDR或  
NDR微软Defender，  
CrowdStrike虽然EDR和 NDR 都提供各自的告警仪表盘，但最好还是使用SIEM或SOAR。SOAR  
系统Splunk SOAR、  
Cortex SOAR规模更大的安全运营中心 (SOC)团队可以使用SOAR来聚合和集中来自多个解决方案的警报。ITSM  
系统Jira、  
TheHive有些团队可能使用专用解决方案设置自定义工单管理（ITSM）  
（上面的 GIF 取自 Trello，这是一个可以根据ITSM需求进行调整的简单工具）。L1 在警报分诊中的作用

SOC L1分析师是第一道防线，也是处理警报最多的人员。根据各种因素，L1分析师每天可能会收到零到一百条警报，每条警报都可能揭示一次网络攻击。尽管如此，SOC团队中的每个人都以某种方式参与到警报的分类处理中：

• SOC L1 分析师： 审核警报，区分真假，并在发现真实威胁时通知 L2 分析师。
  
• SOC L2分析师： 接收L1分析师升级的警报，并进行更深入的分析和补救。
  
• 安全运营中心工程师： 确保警报包含有效警报分类所需的足够信息
  
• 安全运营中心经理： 跟踪警报分级处理的速度和质量，确保不会遗漏真正的攻击。
  

请回答以下问题。
您在上图安全运营中心（SOC）控制面板 中看到多少条警报？

1. 5

复制代码

您看到的最新警报名称是什么？

1. Double-Extension File Creation

复制代码

警报属​​性

既然您已经了解了警报的生成方式，现在是时候了解它们的内容了。虽然每个SIEM或安全解决方案的具体细节有所不同，但警报通常具有一些您必须在处理之前理解的主要属性。如果您发现某些内容难以理解，请不要担心，因为您将在接下来的任务中了解更多相关信息。

警报属​​性
[table][tr]编号财产描述示例[/tr][tr][td]1[/td][td]警报时间[/td][td]显示警报创建时间。警报通常会  
在实际事件发生几分钟后触发。[/td][td]- 警报时间：3月21日15:35
- 事件时间：3月21日15:32[/td][/tr][tr][td]2[/td][td]警报名称[/td][td]根据检测规则的名称，提供事件概要。[/td][td]- 异常登录位置
- 标记为钓鱼邮件
- Windows RDP暴力破解
- 潜在数据泄露[/td][/tr][tr][td]3[/td][td]警报严重程度[/td][td]定义警报的紧急程度，  
最初由检测工程师设定，  
但分析人员可根据需要进行更改。[/td][td]- （
来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！