02 ngày (16 giờ)

Người tham gia sẽ được tìm hiểu về các quy trình SOC (Trung tâm Điều hành An ninh) dựa trên thông tin tình báo, quy trình vận hành tiêu chuẩn (SOPs) và các công cụ giám sát. Họ sẽ học cách nhận diện các định dạng liên quan đến các nguồn thông tin khác nhau có sẵn trong môi trường mạng. Chương trình đi theo quy trình làm việc từ đầu đến cuối của một Chuyên gia Phân tích Bảo mật, bao gồm tất cả các bước thích hợp cần thiết để xử lý từng loại sự cố bảo mật đã được xác định.

• Sau khi hoàn thành chương trình, người tham gia sẽ có khả năng:
• Xác định các vai trò và trách nhiệm trong một SOC.
• Giải thích các nguồn thông tin trong một SOC.
• Mô tả cách các Chuyên gia Phân tích Bảo mật tương tác với thông tin và dữ liệu trong môi trường SOC.
• Giám sát các hàng đợi sự kiện đến để tìm kiếm các sự kiện và/hoặc sự cố bảo mật tiềm năng bằng cách sử dụng các công cụ bảo mật khác nhau theo quy trình vận hành.
• Thực hiện điều tra ban đầu và phân loại các sự cố tiềm năng.
• Điều tra/phân tích một sự cố.
• Leo thang một sự cố để phân tích thêm theo SOPs.
• Lập tài liệu và truyền đạt kết quả điều tra theo SOPs leo thang và/hoặc bàn giao.
• Xem xét toàn bộ quá trình một sự cố từ cảnh báo đến leo thang và kết thúc.
• Áp dụng các khái niệm đã học trong môi trường lớp học vào môi trường làm việc cụ thể của họ.

Các chuyên gia IT có 2 đến 3 năm kinh nghiệm trong vai trò khắc phục sự cố, chẳng hạn như kỹ sư hệ thống/mạng, quản trị viên hệ thống, chuyên gia phân tích hoạt động mạng hoặc chuyên gia phân tích bảo mật mới được tuyển dụng. Yêu cầu có kiến thức cơ bản về bảo mật.

Không yêu cầu điều kiện tiên quyết. Khóa học phù hợp với mọi đối tượng có nhu cầu.

Sau khi hoàn tất khóa học, học viên sẽ được cấp chứng nhận hoàn tất khóa học theo quy định của Cecomtech.

1. Vai trò và Trách nhiệm trong Trung tâm Điều hành An ninh

• Mô tả mục đích của Trung tâm Điều hành An ninh (SOC) và cấu trúc cơ bản của nó.
• Định nghĩa một sự kiện và một sự cố, đồng thời mô tả sự khác biệt giữa hai thuật ngữ này.
• Xác định các vai trò và trách nhiệm trong một SOC.
• Nêu tên một số công cụ thường được sử dụng để giám sát các sự kiện trong SOC.
• Phác thảo một số thành phần chính trong quy trình xử lý sự cố.

2. Giải thích các Nguồn thông tin

• Lập sơ đồ các thành phần và công cụ của môi trường kỹ thuật mà bạn đang làm việc.
• Phân loại các nguồn thông tin có sẵn cho một chuyên gia phân tích bảo mật.
• Nhận diện các định dạng thông tin.
• Thiết lập ngữ cảnh của thông tin/dữ liệu đã quan sát.
• Tiếp thu dữ liệu mối đe dọa bên ngoài và thông tin tình báo về mối đe dọa.
• Áp dụng các nguồn thông tin tình báo bên trong và bên ngoài vào một sự cố.

3. Tương tác với Thông tin (Xác định Sự kiện)

• Trở thành “đôi mắt trên kính” (eyes on glass).
• Phân tích nhật ký từ các thiết bị bảo mật hệ thống và mạng phân tán.
• Giám sát tất cả các hệ thống cảnh báo.
• Kiểm tra dữ liệu gói mạng.
• Xem thông tin bằng bảng điều khiển.

4. Tương quan Sự kiện

• Định nghĩa tương quan sự kiện.
• Sử dụng một số công cụ tương quan.
• Hỗ trợ xác định các vấn đề bảo mật máy tính và truyền thông tiềm năng.
• Tương quan các sự kiện và sự cố với cơ sở kiến thức về các sự kiện và sự cố lịch sử.

5. Phân loại Sự kiện (Triaging Events)

• Tuân theo quy trình phân loại.
• Ưu tiên các sự cố.
• Áp dụng các quy trình vận hành tiêu chuẩn.

6. Phân tích sự cố bằng các nguồn thông tin

• Giải thích sự cố – hệ thống của bạn có bị nhiễm không?
• Thể hiện sự hiểu biết cơ bản về tất cả các nguồn thông tin tiêu chuẩn.
• Xác định liệu một sự cố có xảy ra hay không và xử lý phù hợp.

7. Leo thang và Bàn giao

• Leo thang một sự kiện để phân tích thêm cho người xử lý sự cố.
• Tuân theo SLA (Thỏa thuận mức dịch vụ) để giải quyết hoặc leo thang.
• Quy trình vận hành tiêu chuẩn và phân tích.

8. Lập tài liệu và Truyền đạt Vấn đề

• Cập nhật cơ sở kiến thức nội bộ và wiki.
• Thực hiện các hoạt động bảo trì trên các cơ sở dữ liệu liên quan đến bảo mật.
• Tiếp thu dữ liệu mối đe dọa bên ngoài và thông tin tình báo về mối đe dọa.