O que é um SOC? Qual a sua utilidade?

O Security Operations Center significa, em sua tradução literal, Centro de Operações de Segurança, o que pode ser entendido como um centralizador dos serviços voltados à segurança da informação, desde projetos específicos à manual de conduta de pessoas, processos e a tecnologia adotada pela empresa. O objetivo de um SOC é garantir a segurança de dados. Para isso, as atividades realizadas envolvem:

  • Prevenção: boas práticas que previnem incidentes;
  • Detecção: identificação de problemas de segurança em processos;
  • Resposta a incidentes: solucionar problemas de segurança encontrados;
  • Avaliação de vulnerabilidade: monitoramento e análise dos processos conforme risco de insegurança.

Assim, um SOC é composto por cinco módulos distintos:

  • Geradores de alertas;
  • Coletores de eventos;
  • Banco de dados de mensagens;
  • Mecanismos de análise;
  • Software de gerenciamento de reação.

O principal problema encontrado na construção de um SOC é a integração de todos estes módulos e a correlação de dados que geram, comumente construídos como partes autônomas, conciliando a integridade, a disponibilidade e a confidencialidade dos dados e de seus canais de transmissão.

Quais ferramentas e conteúdos eu posso estudar para implementar um SOC?

Essa é uma pergunta que muitos fazem, pois o que geralmente integra um SOC? É apenas um SIEM?

Na verdade o SIEM é apenas uma das coisas que fazem parte de uma solução dentro de um SOC, então se você quer trabalhar como um Analista de SOC ou até mesmo como um Analista de Segurança, você precisa conhecer primeiramente fundamentos de (Redes de computadores, Sistemas Operacionais, Infraestrutura, Virtualização, Lógica de Programação e etc..)

Vamos ver algumas ferramentas que podem ser utilizadas em um SOC?

SIEM (Gerenciamento e Correlação de Eventos de Segurança)

Gerenciamento e Correlação de Eventos de Segurança é uma solução de Software que combina SIM e SEM. Uma solução SIEM permite que os eventos gerados por diversas aplicações de segurança.

SIEM permite a uma organização ter a visão dos seus eventos de segurança em toda a empresa. Ao reunir dados de log dos sistemas de segurança, sistemas operacionais, aplicativos e outros componentes de software, pode analisar grandes volumes de dados e identificar ataques.

RSA: https://www.rsa.com/

IBM Security (QRadar): https://lnkd.in/d2fkUTE

Splunk: https://lnkd.in/dEFxRkD

McAffe: https://lnkd.in/dFw_AJS

Logrhythm:https://logrhythm.com/

OSSIM: https://lnkd.in/dyU4zy3

EventTracker: https://lnkd.in/dHwzHWB

Elastic: https://lnkd.in/dkdSWth

TrustWave: https://lnkd.in/dwKcHWM

ArcSight: https://lnkd.in/dsMv-4V

InsightIDR: https://lnkd.in/dXbDrHq

Conhecimentos necessário:

  • Monitoramento e Gerenciamento de Log (Saber ler logs)
  • Regex
  • Conhecimentos de Redes de computadores
  • Sistemas Operacionais
  • Ameaças Cibernéticas

Monitoramento de Redes e Infraestrutura

PRTG: https://www.br.paessler.com/PRTG

Zabbix: https://www.zabbix.com/download

Nagios: https://www.nagios.org/

Whatsupgold: https://www.whatsupgold.com/

Cacti: https://www.cacti.net/

Icinga: https://icinga.com/

Wireshark: https://www.wireshark.org/

Tcpdump: https://www.tcpdump.org/

Conhecimentos necessários:

  • Redes de computadores
  • Infraestrutura de Redes
  • Sistemas Operacionais
  • Ameaças Cibernéticas

Gerenciamento de LOGS

Graylog: https://www.graylog.org/

Xpolog: https://www.xplg.com/

Loggly: https://www.loggly.com/

Conhecimentos necessários:

  • Redes de Computadores
  • Conhecimentos em leitura de Logs
  • Sistemas Operacionais
  • Ameaças Cibernéticas

Gestão de Vulnerabilidade

Nessus: https://pt-br.tenable.com/

Nexpose: https://www.rapid7.com/

Qualys: https://www.qualys.com/

Outpost24: https://outpost24.com/

Acunetix: https://www.acunetix.com/vulnerability-scanner/

Conhecimentos necessários:

  • Redes de Computadores
  • Conhecimentos em leitura de Logs
  • Sistemas Operacionais
  • Ameaças Cibernéticas

Threat Intelligence

Kaspersky: https://www.kaspersky.com.br/enterprise-security/threat-intelligence

Security Compass: https://www.securitycompass.com/

DCX Technology: https://www.dxc.technology/

OSINT Framework: https://osintframework.com/

Incident Response:

https://www.incidentresponse.com/

https://searchsecurity.techtarget.com/definition/incident-response

https://www.forcepoint.com/cyber-edu/incident-response

https://www.cybrary.it/course/incident-response-steps/

https://acaditi.com.br/ecih-treinamento-certified-incident-handler/

https://www.cybrary.it/course/implementing-an-incident-response-plan/

Computer Forensic:

https://www.forensiccontrol.com/what-is-computer-forensics

https://acaditi.com.br/chfi-treinamento-certified-computer-hacking-forensic-investigator/

https://www.cybrary.it/course/computer-hacking-forensics-analyst-archive-v1/

Methodology Vulnerability Assessment :

https://owasp.org/www-project-top-ten/

https://csrc.nist.gov/publications/detail/sp/800-115/final

https://www.isecom.org/OSSTMM.3.pdf

https://www.futurelearn.com/courses/ethical-hacking-an-introduction/1/steps/522778

http://www.pentest-standard.org/index.php/Main_Page

Engenharia Reversa e Analise de Malware:

https://www.youtube.com/watch?v=Sp6Y83rdISo (Sobre Engenharia Reversa)

https://www.youtube.com/channel/UCuQ8zW9VmVyml7KytSqJDzg (Papo Binário)

https://www.youtube.com/watch?v=ZKObRxxbOCQ&list=PLBf0hzazHTGMSlOI2HZGc08ePwut6A2Io (Playlist Analise de Malware)

https://www.youtube.com/watch?v=D6mVIos-S2M (Introdução a Engenharia Reversa)

https://www.cybrary.it/course/malware-analysis/

https://www.cybrary.it/course/binwalk-tutorial/

https://www.cybrary.it/course/windbg-tutorial/

https://www.cybrary.it/course/ollydbg-tutorial/

https://www.youtube.com/watch?v=Sv8yu12y5zM (Engenharia Reversa)

https://www.youtube.com/watch?v=LC81gbmTsiE&list=PLUFkSN0XLZ-kwukmQOAgCZ08C5REoZElt (Playlist Engenharia Reversa de Malware)

Algumas certificações:

EC-COUNCIL

CND (Certified Network Defender), CEH (Certified Ethical Hacker), ECIH (Certified Incident Handler), CHFI (Computer Hacking Forensic Investigator), ECSA (Certified Security Analyst), CSA (Certified SOC Analyst), CTIA (Certified Threat Intelligence Analyst)

Aonde estudar? https://acaditi.com.br/

CompTIA

Network+, Security+, CySA+, Linux+, Casp+, PenTest+

Aonde estudar? https://www.strongsecurity.com.br/ e https://4linux.com.br/cursos/linux (Mesmo sendo foco LPI1, “são quase o mesmo conteúdo”)

Esse é um pequeno conteúdo sobre SOC, caso você queira seguir uma carreira na área de SOC Analyst, eu recomendo o guia da Cybrary

https://www.cybrary.it/catalog/career-path/soc-analyst-level-1/

https://www.cybrary.it/catalog/career-path/soc-analyst-level-2/

https://www.cybrary.it/catalog/career-path/soc-analyst-level-3/

Da uma olhada e tente montar seus próprios laboratórios para por em práticas seus conhecimentos.

Autor

  • joas

    8 years of academic and professional experience, Cyber Security Analyst, Cyber and Information Security Consultant, Information Security, Ethical Hacking and PenTester, OWASP Member and Researcher, Cybrary Teacher Assistant, Microsoft Instructor, Web Developer, Bug Hunter by HackerOne and OBB, Python Developer, has over +440 technology courses and +42 certifications, SANS Member, CIS Member and Research, Infosec Competence Leader in Security Awareness, Cyber Security Mentor, Writer Professional in Blog and Magazines, Exploit Developer, EC-COUNCIL Voluntary Blog Writer and IT Lover.

    Ver todos os posts

Views: 1489