安全运营-2：SOC安全分析师的日常

在本系列的第一篇博客中，我们简要了解了安全运营中心（SOC）是什么。
在本篇博客中，我们将继续探讨SOC安全分析师的一些工作日常，了解SOC团队是如何做到时刻保护其公司免受网络威胁的，以及作为SOC安全分析师又需要哪些基本技能。

SOC安全分析师
SOC安全分析师一般都经过专业的培训，培训侧重在如何检测并减缓公司网络威胁。当公司网络成为黑客的攻击目标时，SOC安全分析师需要最先做出反应，通常可以采用事先计划好的安全策略去应对，有时也需要即刻采取措施，保证最大程度上减轻威胁，降低风险。

可以说SOC安全分析师就是公司的安全顾问，与其他部门一起协调工作，降低网络中设备、系统、程序甚至进程遭受的威胁，同时提供必要的响应措施来提高整个网络的安全性。

SOC安全分析师的工作职责
SOC安全分析师需要了解网络安全基本概念以及关注最新的安全技术，例如恶意软件分析、网络安全、事件响应、逆向工程分析以及一些最佳的网络安全实践案例，懂得如何关联性分析网络中发生的多种事件，有效应对那些未公开的硬件和软件漏洞。

除此之外，SOC人员的一些其他重要职责还包括：
监视和分析入侵检测系统（IDS）和入侵防御系统（IPSs）
网络流量和日志分析
检测内部威胁和高级持续性威胁（APT）
恶意软件的取证分析
分辨入侵检测系统中的误报
网络安全分析发现与跟踪技术
制定网络安全告警通知
向其他团队提供有关网络威胁的建议

SOC安全分析师的工作日常
通常，SOC团队需要24x7全天候轮班工作。当换岗时，上一位同事的第一件事便是向下一个同事简要总结此次轮班中的安全活动的概要，以及所有需要关注的可疑事件，方便下一个值班的同事进行进一步的跟踪。

SOC人员的几个常见工作任务：
1.实时监视和分析可疑的网络活动和网络流量
2.订阅威胁情报，主动寻找潜在的网络威胁
3.全面的网络安全架构（例如安全信息和事件管理（SIEM）和IT基础结构库（ITIL））配合使用，监视内部威胁并检测APT）
4.与其他相关团队协调合作一起确保公司整体网络安全的稳定性
5.对触发告警的安全事件及时做出响应

SOC安全分析人员使用的工具
为了有效地保护和监视公司网络，SOC团队必须定期维护和更新IT安全工具。SOC团队使用的IT工具主要用于入侵检测系统（IDS）、入侵防御系统（IPS）、下一代防火墙（NGFW）和日志分析上。

除此之外，SOC团队使用的最重要的工具之一是包含但不限于以下功能的SIEM解决方案：
收集IT管理活动数据以及用户和实体行为分析（UEBA），快速捕捉敏感用户活动
多个网络事件之间潜在性的相关性风险分析
提供一个实时的仪表板，显示最需要关注的网络活动概要
使用预定义的工作流实现自动化工作流程
提供内置的工单系统，准确地定位每一个异常告警
数据归档和取证分析