День з життя SOC-аналітика: як працює перший рівень безпеки

Усім привіт! З вами Антон Калакуцький, і в цій статті я докладно опишу свій звичайний день. На посаді SOC 1 Tier Analyst працюю вже понад місяць, тож маю чим поділитися. Почнімо! 🔥

Ця картинка — точна ілюстрація роботи на першій лінії SOC

Ранок

Мій день починається о 5:00 — із зарядки. Роблю її разом з одним зі своїх котів, який дуже радіє, що тепер на світанку встає не тільки він. Потім приймаю душ та снідаю. До трапези долучається і кіт: суне носа в мою тарілку і треться, просячи смаколика. Виходжу з дому, як правило, о 6:40. До офісу добираюся маршруткою.

Приблизно о 7:50 я вже на місці. До початку моєї зміни ще добра година, однак я не люблю поспіху. Взагалі робота на першій лінії в SOC цілодобова і позмінна, тому плинність кадрів на цій позиції висока: важко витримати графік, а надто нічні зміни. Та я за станом здоров’я працюю лише вдень, і це дуже круто 😎

Офіційно моя зміна починається о 8:45. Доти я неквапом вивантажую дані для оновлення дашбордів, закриваю нічні спрацювання в SIEM QRadar, виконую інші ранкові завдання, спілкуюся з хлопцями на зміні — словом, налаштовуюся на роботу. Загалом колеги по проєкту приходять в офіс згідно з графіком. Проте іноді бувають проблеми з вивантаженням, які потрібно вирішувати поквапом. Й оскільки мені такий темп із самого ранку не до вподоби, то прибуваю в офіс заздалегідь.

О 9:15 відбувається статусна нарада, де ми доповідаємо про інциденти за минулий день і яке правило спрацювало найбільше разів. Правило — це, можна сказати, скрипт у SIEM, який спрацьовує під час спроб компрометації або дій, що можуть завдати шкоди бізнесу замовника.

Доповідати на нарадах — не складно і тим більше не страшно. Я вже навіть у шаблон доповіді не дивлюсь.

А після наради починаються веселощі!

Робота

Найперше хочу розповісти про технології, з якими я працюю. Це SIEM QRadar, WAF Imperva та Elastic, рідше — Check Point XDR. Опишу їх простими словами:

  • QRadar — програма, яка відповідає за захист комп’ютерних систем і мереж від різних кіберзагроз.
  • WAF Imperva — вебаплікаційний фаєрвол (WAF), який допомагає захищати вебсайти та вебдодатки від хакерських атак. Він працює як бар’єр між вашим вебсайтом і користувачами, фільтруючи небезпечний трафік та захищаючи від таких загроз, як SQL-ін’єкції, XSS-атаки, ботів тощо.
  • Elastic — набір інструментів, які допомагають зберігати, шукати та аналізувати великі обсяги даних у режимі реального часу. Він працює в парі з WAF Imperva, що дуже зручно і сприяє кращому захисту бізнесу замовника.
  • Check Point XDR (Extended Detection and Response) — рішення для кібербезпеки, яке допомагає виявляти, аналізувати й реагувати на загрози в різних частинах IT-інфраструктури, як-от комп’ютери, сервери, мобільні пристрої, мережі та хмарні сервіси. Головна його відмінність полягає в інтегрованому ШІ — у ногу з часом.

З цими технологіями я працюю найбільше і після місяця роботи в ролі SOC 1 Tier Analyst непогано в них розбираюсь. А якщо чогось не знаю, то колеги пояснюють, куди зайти й що натиснути 😅

Тепер розповім, як застосовую кожну з технологій — почнімо з QRadar. Як я вже писав, я аналізую інциденти, які ловить ця програма в мережі замовника. Ми можемо бачити практично все, і це дуже круто. Інциденти спрацьовують за правилами, які прописують аналітики другої лінії SOC. Але SIEM не тільки ж працює за правилами, вона ж мусить десь брати ці кіберзагрози? Так, для цього в QRadar є івент-колектори, що збирають дані, — їх можна інтегрувати з різних джерел. Ось кілька прикладів таких колекторів:

  • Syslog: підтримка стандартного протоколу Syslog дозволяє отримувати журнали подій від мережевих пристроїв, серверів, додатків і систем безпеки, які підтримують Syslog.
  • Windows Event Log (WinCollect): колектор для збору подій з Windows-систем. QRadar використовує WinCollect для збору журналів подій із Windows Event Log.
  • Snort/Suricata: інтеграція із системами виявлення вторгнень (IDS), такими як Snort або Suricata, дозволяє збирати події безпеки.
  • Palo Alto Networks: колектори для отримання журналів з міжмережевих екранів і систем захисту Palo Alto.
  • Cisco: підтримка колекторів для збору подій з різних пристроїв Cisco — ASA, Firepower, IOS тощо.
  • Check Point: QRadar може інтегруватися з Check Point для збору логів з їхніх міжмережевих екранів та інших пристроїв.
  • Fortinet: інтеграція з Fortinet FortiGate для збору подій з міжмережевих екранів і систем захисту Fortinet.
  • AWS CloudTrail: збір журналів подій з AWS CloudTrail для моніторингу діяльності в хмарному середовищі.
  • Microsoft Azure: інтеграція з Microsoft Azure для збору подій безпеки з різних сервісів Azure.
  • Web Application Firewalls (WAF): колектори для збору подій з WAF, таких як Imperva, F5 BIG-IP ASM тощо.
  • Antivirus Solutions: інтеграція з антивірусними системами на кшталт McAfee, Symantec і Trend Micro для збору подій.
  • Database Activity Monitoring (DAM): збір подій з рішень моніторингу баз даних, таких як IBM Guardium.
  • Network Traffic Analysis (NTA): інтеграція з інструментами аналізу мережевого трафіку, такими як NetFlow чи sFlow.
  • Custom Log Sources: QRadar підтримує налаштування власних колекторів для специфічних лог-джерел через API або спеціальні плани формату.

Я аналізую ці події, відтак визначаю їхню загрозу. Якщо немає пропущених комунікацій з підозрілими або зловмисними IP-адресами, то все гаразд, якщо є — ескалюємо це на другу лінію. Упродовж дня таких подій буває багато, і як аналітик першої лінії я маю перевірити усі. Детальніше їх вивчають на другій лінії, куди я і хотів би перейти: мені подобається аналізувати та вирішувати проблеми.

Тепер розглянемо WAF Imperva. Він, до речі, також підключений до QRadar як івент-колектор. Це набагато зручніше, адже SIEM сповіщає про всі події. Взагалі взаємодія відбувається виключно через Elastic. Там я бачу весь трафік на захищені ресурси, на які директорії були запити, які вебатаки здійснювали та чи не пропустили ми їх.

Як і в QRadar, у WAF Imperva є свої правила: базові — з коробки, кастомні — які прописуємо ми, а також політики ACL. ACL (Access Control List) — це список правил, який визначає, хто до чого може отримати доступ і що саме вони можуть з цим робити. Він також є базовим, але можна прописувати кастомний список.

Взагалі робота з WAF Imperva цікавіша, адже тут треба більше аналізувати. Але є й жирнючий мінус для мене — це спілкування з замовником. Проблема не в комунікації як такій, а в її стилі. Від тих листів, які ми пишемо, коротить мій контужений мозок. Я просто не можу зрозуміти, як писати так! Сподіваюсь, з часом усе прийде. Через листи ми повідомляємо замовника про різні аномалії або вебатаки. І це треба робити вчасно, бо інакше потім буде дуже багато питань.

Приблизно о 14:00 я йду обідати. Коли погано почуваюся (тиск підвищився абощо), то можу прийняти ліки й полежати на пуфику, поки не попустить. В офісі до цього нормально ставляться.

Іноді на роботі буває вільна годинка. Щоб не гаяти цей час дарма, використовую його для самоосвіти у сфері кібербезпеки: проходжу курс на сертифікацію eJPT, підучуюся на Udemy чи просто дивлюся корисні ролики на YouTube. Якби міг, то попроходив би всі сертифікації, які тільки є, щоб стати ще професійнішим — аби тільки гроші були 😅

Вечір

Наприкінці робочого дня у мене ще одна нарада — з замовником. Упродовж 30 хвилин ми говоримо про аномалії трафіку, вебатаки та статус захисту ресурсів — типовий звіт, нічого особливого 🤷‍♂️

Після цього я вирушаю додому і знову переживаю «радощі» громадського транспорту: влітку в маршрутках жарко, а взимку — холодно. Думаю, їх вигадав диявол 🙂

Як виглядає мій вечір удома, залежить від самопочуття. Якщо все добре, можу повчитися. Утім, після дороги в мене часто підвищується тиск і болить голова. Тому стараюсь відпочивати: дивлюся серіали, розмовляю з дружиною про те, як минув день, забавляюся з котами або граю на Xbox (запрошую охочих пограти разом 🤝).

Урешті, втомлений після робочого дня, я лягаю спати о 21:00–21:30 😴

Сподіваюся, стаття була цікавою і корисною. Якщо є запитання або коментарі, не соромтеся поділитися ними — я завжди радий зворотному зв’язку. Можливо, в майбутньому розповім докладніше про технології, які я використовую. Дякую за увагу і до зустрічі в наступних публікаціях!🫡

IT Specialist ваш бізнес захищає — Антон Калакуцький йому в цьому допомагає!💪

👍ПодобаєтьсяСподобалось8
До обраногоВ обраному2
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Доброго дня не підкажете де навчались чи проходили курси?

Дякую за цікаву статтю

Доброго дня, дякую за статтю. Цікаво, чи мали досвід користування продуктами SentinelOne? Якщо так, як би ви їх порівняли з Palo Alto Networks, наприклад?

в нас є ця технологія, але я з нею не стикався, тому не зможу відповісти( Вибачте(

Цікаво, а remote є в security. Та і мало вакансій, треба купу дорогущих сертифікатів.

Є remote, вакансій entry lvl справді мало але якщо ви хороший фахівець то ж потрапити в команду безпеки не складно. Сертифікації важливі лише для пентестерів ну і будуть плюсом при працевлаштуванні

Підписатись на коментарі