День з життя SOC-аналітика: як працює перший рівень безпеки
Усім привіт! З вами Антон Калакуцький, і в цій статті я докладно опишу свій звичайний день. На посаді SOC 1 Tier Analyst працюю вже понад місяць, тож маю чим поділитися. Почнімо! 🔥
Ця картинка — точна ілюстрація роботи на першій лінії SOC
Ранок
Мій день починається о 5:00 — із зарядки. Роблю її разом з одним зі своїх котів, який дуже радіє, що тепер на світанку встає не тільки він. Потім приймаю душ та снідаю. До трапези долучається і кіт: суне носа в мою тарілку і треться, просячи смаколика. Виходжу з дому, як правило, о 6:40. До офісу добираюся маршруткою.
Приблизно о 7:50 я вже на місці. До початку моєї зміни ще добра година, однак я не люблю поспіху. Взагалі робота на першій лінії в SOC цілодобова і позмінна, тому плинність кадрів на цій позиції висока: важко витримати графік, а надто нічні зміни. Та я за станом здоров’я працюю лише вдень, і це дуже круто 😎
Офіційно моя зміна починається о 8:45. Доти я неквапом вивантажую дані для оновлення дашбордів, закриваю нічні спрацювання в SIEM QRadar, виконую інші ранкові завдання, спілкуюся з хлопцями на зміні — словом, налаштовуюся на роботу. Загалом колеги по проєкту приходять в офіс згідно з графіком. Проте іноді бувають проблеми з вивантаженням, які потрібно вирішувати поквапом. Й оскільки мені такий темп із самого ранку не до вподоби, то прибуваю в офіс заздалегідь.
О 9:15 відбувається статусна нарада, де ми доповідаємо про інциденти за минулий день і яке правило спрацювало найбільше разів. Правило — це, можна сказати, скрипт у SIEM, який спрацьовує під час спроб компрометації або дій, що можуть завдати шкоди бізнесу замовника.
Доповідати на нарадах — не складно і тим більше не страшно. Я вже навіть у шаблон доповіді не дивлюсь.
А після наради починаються веселощі!
Робота
Найперше хочу розповісти про технології, з якими я працюю. Це SIEM QRadar, WAF Imperva та Elastic, рідше — Check Point XDR. Опишу їх простими словами:
- QRadar — програма, яка відповідає за захист комп’ютерних систем і мереж від різних кіберзагроз.
- WAF Imperva — вебаплікаційний фаєрвол (WAF), який допомагає захищати вебсайти та вебдодатки від хакерських атак. Він працює як бар’єр між вашим вебсайтом і користувачами, фільтруючи небезпечний трафік та захищаючи від таких загроз, як SQL-ін’єкції, XSS-атаки, ботів тощо.
- Elastic — набір інструментів, які допомагають зберігати, шукати та аналізувати великі обсяги даних у режимі реального часу. Він працює в парі з WAF Imperva, що дуже зручно і сприяє кращому захисту бізнесу замовника.
- Check Point XDR (Extended Detection and Response) — рішення для кібербезпеки, яке допомагає виявляти, аналізувати й реагувати на загрози в різних частинах IT-інфраструктури, як-от комп’ютери, сервери, мобільні пристрої, мережі та хмарні сервіси. Головна його відмінність полягає в інтегрованому ШІ — у ногу з часом.
З цими технологіями я працюю найбільше і після місяця роботи в ролі SOC 1 Tier Analyst непогано в них розбираюсь. А якщо чогось не знаю, то колеги пояснюють, куди зайти й що натиснути 😅
Тепер розповім, як застосовую кожну з технологій — почнімо з QRadar. Як я вже писав, я аналізую інциденти, які ловить ця програма в мережі замовника. Ми можемо бачити практично все, і це дуже круто. Інциденти спрацьовують за правилами, які прописують аналітики другої лінії SOC. Але SIEM не тільки ж працює за правилами, вона ж мусить десь брати ці кіберзагрози? Так, для цього в QRadar є івент-колектори, що збирають дані, — їх можна інтегрувати з різних джерел. Ось кілька прикладів таких колекторів:
- Syslog: підтримка стандартного протоколу Syslog дозволяє отримувати журнали подій від мережевих пристроїв, серверів, додатків і систем безпеки, які підтримують Syslog.
- Windows Event Log (WinCollect): колектор для збору подій з Windows-систем. QRadar використовує WinCollect для збору журналів подій із Windows Event Log.
- Snort/Suricata: інтеграція із системами виявлення вторгнень (IDS), такими як Snort або Suricata, дозволяє збирати події безпеки.
- Palo Alto Networks: колектори для отримання журналів з міжмережевих екранів і систем захисту Palo Alto.
- Cisco: підтримка колекторів для збору подій з різних пристроїв Cisco — ASA, Firepower, IOS тощо.
- Check Point: QRadar може інтегруватися з Check Point для збору логів з їхніх міжмережевих екранів та інших пристроїв.
- Fortinet: інтеграція з Fortinet FortiGate для збору подій з міжмережевих екранів і систем захисту Fortinet.
- AWS CloudTrail: збір журналів подій з AWS CloudTrail для моніторингу діяльності в хмарному середовищі.
- Microsoft Azure: інтеграція з Microsoft Azure для збору подій безпеки з різних сервісів Azure.
- Web Application Firewalls (WAF): колектори для збору подій з WAF, таких як Imperva, F5 BIG-IP ASM тощо.
- Antivirus Solutions: інтеграція з антивірусними системами на кшталт McAfee, Symantec і Trend Micro для збору подій.
- Database Activity Monitoring (DAM): збір подій з рішень моніторингу баз даних, таких як IBM Guardium.
- Network Traffic Analysis (NTA): інтеграція з інструментами аналізу мережевого трафіку, такими як NetFlow чи sFlow.
- Custom Log Sources: QRadar підтримує налаштування власних колекторів для специфічних лог-джерел через API або спеціальні плани формату.
Я аналізую ці події, відтак визначаю їхню загрозу. Якщо немає пропущених комунікацій з підозрілими або зловмисними IP-адресами, то все гаразд, якщо є — ескалюємо це на другу лінію. Упродовж дня таких подій буває багато, і як аналітик першої лінії я маю перевірити усі. Детальніше їх вивчають на другій лінії, куди я і хотів би перейти: мені подобається аналізувати та вирішувати проблеми.
Тепер розглянемо WAF Imperva. Він, до речі, також підключений до QRadar як івент-колектор. Це набагато зручніше, адже SIEM сповіщає про всі події. Взагалі взаємодія відбувається виключно через Elastic. Там я бачу весь трафік на захищені ресурси, на які директорії були запити, які вебатаки здійснювали та чи не пропустили ми їх.
Як і в QRadar, у WAF Imperva є свої правила: базові — з коробки, кастомні — які прописуємо ми, а також політики ACL. ACL (Access Control List) — це список правил, який визначає, хто до чого може отримати доступ і що саме вони можуть з цим робити. Він також є базовим, але можна прописувати кастомний список.
Взагалі робота з WAF Imperva цікавіша, адже тут треба більше аналізувати. Але є й жирнючий мінус для мене — це спілкування з замовником. Проблема не в комунікації як такій, а в її стилі. Від тих листів, які ми пишемо, коротить мій контужений мозок. Я просто не можу зрозуміти, як писати так! Сподіваюсь, з часом усе прийде. Через листи ми повідомляємо замовника про різні аномалії або вебатаки. І це треба робити вчасно, бо інакше потім буде дуже багато питань.
Приблизно о 14:00 я йду обідати. Коли погано почуваюся (тиск підвищився абощо), то можу прийняти ліки й полежати на пуфику, поки не попустить. В офісі до цього нормально ставляться.
Іноді на роботі буває вільна годинка. Щоб не гаяти цей час дарма, використовую його для самоосвіти у сфері кібербезпеки: проходжу курс на сертифікацію eJPT, підучуюся на Udemy чи просто дивлюся корисні ролики на YouTube. Якби міг, то попроходив би всі сертифікації, які тільки є, щоб стати ще професійнішим — аби тільки гроші були 😅
Вечір
Наприкінці робочого дня у мене ще одна нарада — з замовником. Упродовж 30 хвилин ми говоримо про аномалії трафіку, вебатаки та статус захисту ресурсів — типовий звіт, нічого особливого 🤷♂️
Після цього я вирушаю додому і знову переживаю «радощі» громадського транспорту: влітку в маршрутках жарко, а взимку — холодно. Думаю, їх вигадав диявол 🙂
Як виглядає мій вечір удома, залежить від самопочуття. Якщо все добре, можу повчитися. Утім, після дороги в мене часто підвищується тиск і болить голова. Тому стараюсь відпочивати: дивлюся серіали, розмовляю з дружиною про те, як минув день, забавляюся з котами або граю на Xbox (запрошую охочих пограти разом 🤝).
Урешті, втомлений після робочого дня, я лягаю спати о
Сподіваюся, стаття була цікавою і корисною. Якщо є запитання або коментарі, не соромтеся поділитися ними — я завжди радий зворотному зв’язку. Можливо, в майбутньому розповім докладніше про технології, які я використовую. Дякую за увагу і до зустрічі в наступних публікаціях!🫡
IT Specialist ваш бізнес захищає — Антон Калакуцький йому в цьому допомагає!💪
9 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарів