O que é um SOC? Qual a sua utilidade?
O Security Operations Center significa, em sua tradução literal, Centro de Operações de Segurança, o que pode ser entendido como um centralizador dos serviços voltados à segurança da informação, desde projetos específicos à manual de conduta de pessoas, processos e a tecnologia adotada pela empresa. O objetivo de um SOC é garantir a segurança de dados. Para isso, as atividades realizadas envolvem:
- Prevenção: boas práticas que previnem incidentes;
- Detecção: identificação de problemas de segurança em processos;
- Resposta a incidentes: solucionar problemas de segurança encontrados;
- Avaliação de vulnerabilidade: monitoramento e análise dos processos conforme risco de insegurança.
Assim, um SOC é composto por cinco módulos distintos:
- Geradores de alertas;
- Coletores de eventos;
- Banco de dados de mensagens;
- Mecanismos de análise;
- Software de gerenciamento de reação.
O principal problema encontrado na construção de um SOC é a integração de todos estes módulos e a correlação de dados que geram, comumente construídos como partes autônomas, conciliando a integridade, a disponibilidade e a confidencialidade dos dados e de seus canais de transmissão.
Quais ferramentas e conteúdos eu posso estudar para implementar um SOC?
Essa é uma pergunta que muitos fazem, pois o que geralmente integra um SOC? É apenas um SIEM?
Na verdade o SIEM é apenas uma das coisas que fazem parte de uma solução dentro de um SOC, então se você quer trabalhar como um Analista de SOC ou até mesmo como um Analista de Segurança, você precisa conhecer primeiramente fundamentos de (Redes de computadores, Sistemas Operacionais, Infraestrutura, Virtualização, Lógica de Programação e etc..)
Vamos ver algumas ferramentas que podem ser utilizadas em um SOC?
SIEM (Gerenciamento e Correlação de Eventos de Segurança)
Gerenciamento e Correlação de Eventos de Segurança é uma solução de Software que combina SIM e SEM. Uma solução SIEM permite que os eventos gerados por diversas aplicações de segurança.
SIEM permite a uma organização ter a visão dos seus eventos de segurança em toda a empresa. Ao reunir dados de log dos sistemas de segurança, sistemas operacionais, aplicativos e outros componentes de software, pode analisar grandes volumes de dados e identificar ataques.
RSA: https://www.rsa.com/
IBM Security (QRadar): https://lnkd.in/d2fkUTE
Splunk: https://lnkd.in/dEFxRkD
McAffe: https://lnkd.in/dFw_AJS
Logrhythm:https://logrhythm.com/
OSSIM: https://lnkd.in/dyU4zy3
EventTracker: https://lnkd.in/dHwzHWB
Elastic: https://lnkd.in/dkdSWth
TrustWave: https://lnkd.in/dwKcHWM
ArcSight: https://lnkd.in/dsMv-4V
InsightIDR: https://lnkd.in/dXbDrHq
Conhecimentos necessário:
- Monitoramento e Gerenciamento de Log (Saber ler logs)
- Regex
- Conhecimentos de Redes de computadores
- Sistemas Operacionais
- Ameaças Cibernéticas
Monitoramento de Redes e Infraestrutura
PRTG: https://www.br.paessler.com/PRTG
Zabbix: https://www.zabbix.com/download
Nagios: https://www.nagios.org/
Whatsupgold: https://www.whatsupgold.com/
Cacti: https://www.cacti.net/
Icinga: https://icinga.com/
Wireshark: https://www.wireshark.org/
Tcpdump: https://www.tcpdump.org/
Conhecimentos necessários:
- Redes de computadores
- Infraestrutura de Redes
- Sistemas Operacionais
- Ameaças Cibernéticas
Gerenciamento de LOGS
Graylog: https://www.graylog.org/
Xpolog: https://www.xplg.com/
Loggly: https://www.loggly.com/
Conhecimentos necessários:
- Redes de Computadores
- Conhecimentos em leitura de Logs
- Sistemas Operacionais
- Ameaças Cibernéticas
Gestão de Vulnerabilidade
Nessus: https://pt-br.tenable.com/
Nexpose: https://www.rapid7.com/
Qualys: https://www.qualys.com/
Outpost24: https://outpost24.com/
Acunetix: https://www.acunetix.com/vulnerability-scanner/
Conhecimentos necessários:
- Redes de Computadores
- Conhecimentos em leitura de Logs
- Sistemas Operacionais
- Ameaças Cibernéticas
Threat Intelligence
Kaspersky: https://www.kaspersky.com.br/enterprise-security/threat-intelligence
Security Compass: https://www.securitycompass.com/
DCX Technology: https://www.dxc.technology/
OSINT Framework: https://osintframework.com/
Incident Response:
https://searchsecurity.techtarget.com/definition/incident-response
https://www.forcepoint.com/cyber-edu/incident-response
https://www.cybrary.it/course/incident-response-steps/
https://acaditi.com.br/ecih-treinamento-certified-incident-handler/
https://www.cybrary.it/course/implementing-an-incident-response-plan/
Computer Forensic:
https://www.forensiccontrol.com/what-is-computer-forensics
https://acaditi.com.br/chfi-treinamento-certified-computer-hacking-forensic-investigator/
https://www.cybrary.it/course/computer-hacking-forensics-analyst-archive-v1/
Methodology Vulnerability Assessment :
https://owasp.org/www-project-top-ten/
https://csrc.nist.gov/publications/detail/sp/800-115/final
https://www.isecom.org/OSSTMM.3.pdf
https://www.futurelearn.com/courses/ethical-hacking-an-introduction/1/steps/522778
http://www.pentest-standard.org/index.php/Main_Page
Engenharia Reversa e Analise de Malware:
https://www.youtube.com/watch?v=Sp6Y83rdISo (Sobre Engenharia Reversa)
https://www.youtube.com/channel/UCuQ8zW9VmVyml7KytSqJDzg (Papo Binário)
https://www.youtube.com/watch?v=ZKObRxxbOCQ&list=PLBf0hzazHTGMSlOI2HZGc08ePwut6A2Io (Playlist Analise de Malware)
https://www.youtube.com/watch?v=D6mVIos-S2M (Introdução a Engenharia Reversa)
https://www.cybrary.it/course/malware-analysis/
https://www.cybrary.it/course/binwalk-tutorial/
https://www.cybrary.it/course/windbg-tutorial/
https://www.cybrary.it/course/ollydbg-tutorial/
https://www.youtube.com/watch?v=Sv8yu12y5zM (Engenharia Reversa)
https://www.youtube.com/watch?v=LC81gbmTsiE&list=PLUFkSN0XLZ-kwukmQOAgCZ08C5REoZElt (Playlist Engenharia Reversa de Malware)
Algumas certificações:
EC-COUNCIL
CND (Certified Network Defender), CEH (Certified Ethical Hacker), ECIH (Certified Incident Handler), CHFI (Computer Hacking Forensic Investigator), ECSA (Certified Security Analyst), CSA (Certified SOC Analyst), CTIA (Certified Threat Intelligence Analyst)
Aonde estudar? https://acaditi.com.br/
CompTIA
Network+, Security+, CySA+, Linux+, Casp+, PenTest+
Aonde estudar? https://www.strongsecurity.com.br/ e https://4linux.com.br/cursos/linux (Mesmo sendo foco LPI1, “são quase o mesmo conteúdo”)
Esse é um pequeno conteúdo sobre SOC, caso você queira seguir uma carreira na área de SOC Analyst, eu recomendo o guia da Cybrary
https://www.cybrary.it/catalog/career-path/soc-analyst-level-1/
https://www.cybrary.it/catalog/career-path/soc-analyst-level-2/
https://www.cybrary.it/catalog/career-path/soc-analyst-level-3/
Da uma olhada e tente montar seus próprios laboratórios para por em práticas seus conhecimentos.
Views: 1489