Aujourd'hui, même une recherche rapide sur hh.ru donne environ 90 postes vacants qui sont différents dans les tâches et les fonctionnalités avec le mot magique «analyste» et des conditions de paiement assez décentes. Sous les yeux de nombreux candidats, le big data et le machine learning flottent immédiatement, le salaire se met à danser bien au-dessus du marché et à flirter avec des zéros. Alors, qui sont les analystes du centre de surveillance qui sont «chargés de s'assurer que le client n'est pas piraté»? Que font-ils et que devez-vous savoir et être en mesure d'accéder à ce poste?
Dans
les articles précédents, nous disions que la liste des principales tâches de l'analyste de la ligne 3 comprend:
- Analyse des activités anormales pour identifier les incidents.
- Répondre aux incidents critiques atypiques de leurs clients.
- Participation à l'enquête sur les incidents SI non enregistrée par la surveillance
- Contrôle technique, connexion et adaptation des sources d'événements.
- Développer de nouveaux scénarios de détection d'incident.
En résumé, l'analyste est responsable des aspects techniques de la surveillance des cybermenaces du Client. La source n'envoie pas de journaux, l'événement n'a pas analysé, le script n'a pas fonctionné ou falsifié, ils ont raté l'attaque - l'analyste affecté au client est responsable de tout.
Cependant, cela ne signifie pas que tous les analystes Solar JSOC sont gris ou chauves à l'âge de 30 ans. Pas tous. Ce rôle implique des exigences élevées pour son interprète. Essayons de les décrire plus en détail. Nous attirons immédiatement l'attention sur le fait que dans cet article, nous n'avons pas intentionnellement mis l'accent sur les compétences techniques que nous attendons du candidat au poste d'analyste Solar JSOC. On a déjà beaucoup parlé de la technologie, mais, comme l'indique le nom de la série de nos articles, les SOC sont des personnes.
Se battre et chercher
Nous ne nous concentrerons pas là-dessus, mais vous ne pouvez pas dire quelques mots sur SIEM :) Dans la description de poste, ils écrivent souvent: "Expérience avec le système SIEM". D'une part, tout est clair: SIEM est un moteur SOC, sans lui, un service, comme on dit, «n'ira pas». (Certains experts ont des objections et les leurs, ayant le droit à la vie, les théories de la construction du SOC sans SIEM, mais ce n'est toujours pas le sujet de notre article.)
Cependant, en fait, derrière ces mots se cache quelque chose de plus que la possibilité de consulter les journaux d'un système informatique particulier.
L'analyste doit être capable de modéliser des vecteurs d'attaque en fonction de la quantité minimale d'informations sur l'infrastructure du client. Bien sûr, il arrive que lorsque le Client se connecte, nous obtenons de lui des informations complètes sur les sous-réseaux L2-L3, une liste des serveurs et des AWP avec leurs rôles, des téléchargements depuis AD et SCCM, etc. Et parmi les spécialistes de Solar JSOC, il y a même une légende selon laquelle il y a eu un client qui a fourni toutes ces informations à jour ... Mais, malheureusement, ce n'est pas toujours le cas, et vous devez travailler avec ce que nous avons. Et cela signifie que vous devez être en mesure d'évaluer l'adéquation des sources connectées et des événements reçus pour fournir un service de haute qualité pour la surveillance et l'identification des incidents SI. Évidemment, pour cela, un spécialiste doit avoir une solide expérience des principales technologies informatiques utilisées pour construire une infrastructure d'entreprise typique.
En parallèle, l'analyste doit pouvoir utiliser d'anciennes sources pour résoudre de nouvelles tâches (dans ce cas, lire - non essentielles). Par exemple, l'une de nos banques clientes, qui possède un réseau développé de distributeurs automatiques de billets à travers le pays, avait un problème aigu: la solution antivirus utilisée ne nous a pas permis d'évaluer l'exhaustivité de la couverture de ces distributeurs automatiques avec un logiciel antivirus. Cependant, nous avions un pare-feu au niveau du noyau connecté, et nous savions avec quels ATM les services de traitement interagissaient. À l'aide de ces journaux, l'analyste responsable a pu préparer une liste d'adresses IP des distributeurs automatiques de billets qui entrent en cours de traitement, et en même temps, la base de données du centre de contrôle de la solution antivirus ne contient pas d'informations sur leur agent. Pendant plusieurs mois de travail intensif conjoint, nous avons réussi à réduire la liste de ces distributeurs automatiques de plusieurs centaines à des unités, et la tâche d'inventaire, à l'origine atomique, a finalement été lancée de manière continue.
Trouver et ne pas abandonner
La corrosivité et l'attention aux détails sont extrêmement utiles pour l'analyste. L'enquête sur les incidents qui n'ont pas été enregistrés par le pool de scripts Solar JSOC en cours d'exécution est un travail de routine très compliqué avec des milliers, voire des millions d'événements provenant de diverses sources. Et ici, le plus difficile est de trouver un fil en tirant qui, il sera possible de démêler tout l'enchevêtrement de l'incident.
Par exemple, nous avons eu un cas où un analyste a enquêté sur une entrée non autorisée dans l'infrastructure du client et n'a pas réussi à trouver le point de compromis d'origine. Pour résoudre le problème, nous avons dû construire un rapport mensuel sur les connexions réseau entrantes et sortantes avec la participation des adresses IP appartenant au pool d'adresses externes du Client. Et seulement après une longue analyse de ce rapport, il a été possible de trouver des connexions sortantes atypiques d'un serveur Web de test vers une adresse IP des Pays-Bas, qui s'est finalement révélée être une activité Reverse Shell, lancée par un attaquant sur un serveur compromis.
Une partie des tâches de l'analyste nécessite une communication directe avec le client. Parfois, des informations doivent être tirées littéralement par des tiques, par exemple, lorsqu'une demande arrive sous la forme de "qu'est-ce qui était suspect de tel ou tel poste de travail la semaine dernière?". En effet, après une série de questions suggestives, il s'avère que l'employé qui travaillait sur ce poste de travail s'est plaint à son collègue de la division SI du fumoir qu'un fichier manquait sur son bureau. Et l'officier de sécurité a alors décidé de demander au SOC externe à quoi il était lié, mais le libellé de la question était trop vague. Et cela arrive tout le temps. Il est difficile de surestimer la capacité notoire à travailler en équipe, notamment en collaboration avec un responsable de service. Pour fournir un service de haute qualité, il est important que les deux entraînent l'équipe dans une direction et non comme dans une fable célèbre.
Le personnage est persistant, nordique
Séparément, il convient de noter un trait de caractère devenu si familier dans tous les curriculum vitae que personne n'y prête attention. Il s'agit de la résistance au stress. Solar JSOC fournit un service 24h / 24 et 7j / 7, ce qui signifie que tous les analystes participent à des appels 24h / 24, prêts à tout moment, de jour comme de nuit, à participer à l'enquête sur un incident important. Dans le même temps, comme le montrent les
statistiques , une partie considérable des incidents critiques survient précisément après les heures. La capacité de se réveiller plusieurs fois par nuit vient au premier plan et le cerveau doit démarrer et être prêt à percevoir les informations les plus importantes presque instantanément.
L'enquête sur tous les incidents enregistrés est effectuée par les ingénieurs de la première ligne de surveillance. La tâche de l'analyste est de se connecter pendant l'escalade, ainsi que de contrôler la qualité de l'enquête sur les incidents élaborée par la première ligne. De plus, les ingénieurs se tournent souvent vers l'analyste pour aider à interpréter les événements ou évaluer la criticité de l'incident. Cela signifie que l'analyste doit guider ses collègues juniors, suivre les progrès sur la qualité de l'enquête et donner des commentaires au chef d'équipe de première ligne.
Aussi, le Client demande souvent de fournir telle ou telle information sur les événements. L'analyste doit évaluer la tâche, l'interpréter correctement et la transmettre aux ingénieurs de première ligne pour l'implémentation, en tout ou en partie, selon le niveau de difficulté de réalisation de la tâche. Il est important de ne pas verrouiller toutes les activités techniques sur vous-même et de déléguer des tâches autonomes à la première ligne dans le temps en tant que ressource évolutive. À titre d'exemple de telles tâches, on peut citer des demandes telles que "il est nécessaire de décharger des informations sur l'activité de l'employé N sur certains hôtes" ou "demande de fournir des informations sur l'interaction réseau avec l'adresse xxxx du dernier mois". Comme vous pouvez le voir, les requêtes sont assez simples, mais leur implémentation dans SIEM nécessite un certain temps, et c'est tout à fait faisable par la première ligne.
"... laissez-les m'apprendre"
Comment le Solar JSOC est-il réapprovisionné? Je souhaite que tout soit simple, comme sur la photo, mais hélas.
Si vous n'envisagez pas d'embaucher des personnes de l'extérieur, ainsi qu'une transition horizontale, l'analyste évoluera de la manière la plus naturelle d'un ingénieur de réponse (plus de détails sur ce rôle dans le gang JSOC peuvent être lus
ici et
ici ). "Et seulement c'est logique", comme l'a dit le célèbre personnage.
L'ingénieur d'intervention est probablement issu de la première ligne de surveillance, ce qui signifie qu'il a traversé une voie difficile pour enquêter sur le flux continu d'incidents, manœuvrant entre Scylla False Positive et Charybdis False Negative. De plus, l'ingénieur a déjà acquis les compétences d'investigations plus complexes, un travail approfondi avec SIEM, la connexion de sources d'événements, ainsi que la résolution de problèmes spécifiques des clients. En général, il a maîtrisé les bases nécessaires à une croissance future.
Mais est-ce suffisant pour entrer dans l'analytique? C'est une question difficile. Et généralement, il n'y a pas de réponse universelle. Au minimum, l'analyste, par rapport à l'ingénieur de réponse, a une nouvelle responsabilité - l'interaction avec le client. Cela peut sembler insignifiant pour beaucoup, mais la pratique a montré que c'est loin d'être le cas. Beaucoup de gars, immergés dans l'informatique, doivent travailler dur sur eux-mêmes pour surmonter la peur et apprendre à communiquer avec les personnes que nous fournissons. Certains sont très sous pression du fardeau de la responsabilité. Il est psychologiquement difficile pour les autres d'accepter qu'il n'y aura plus de camarades supérieurs en position d'analyste qui revérifieront après vous et signaleront les erreurs. Pour beaucoup, c'est tout simplement trop de stress - lorsque vous effectuez des tâches atypiques, chacune étant un défi pour vos compétences, lorsque plusieurs solutions d'affilée se révèlent être une impasse. Beaucoup abandonnent alors tout simplement. Les qualités humaines jouent donc un rôle important ici.
En tant que tâches de traduction pour le poste d'analyste, nous proposons généralement deux types de tâches. L'un d'eux est la tâche de développer du contenu JSOC, par exemple, développer un bloc de script pour détecter de nouveaux vecteurs d'attaque. From fresh - la mise en œuvre de la détection des attaques sur Active Directory, en particulier DCShadow.
En plus de travailler avec le contenu, l'analyste pendant le processus de traduction est nommé responsable de deux ou trois clients Solar JSOC: examine leur infrastructure, les sources connectées et les événements reçus d'eux, vérifie l'intégralité des systèmes connectés et la portée des scripts en cours d'exécution, et procède au suivi des incidents détectés et de la qualité du travail des ingénieurs de première ligne sur ces incidents. Après l'acceptation, toutes les questions concernant le côté technique du service pour ce client relèvent du domaine de responsabilité du nouvel analyste.
L'équipe d'analyse a un classement des publications. L'analyste junior assume un nouveau rôle pour lui-même et est engagé dans des tâches typiques. L'analyste est la principale force de frappe du JSOC, clôturant le pool de tâches principal. Je voudrais également parler du rôle de l'analyste principal. Comme son nom l'indique, l'analyste principal fait parfaitement face à ses tâches principales, tout en ayant une compréhension de la gestion des services Solar JSOC, est capable d'évaluer les risques commerciaux, a un niveau de communication élevé et, si nécessaire, est capable d'élaborer l'architecture d'un service atypique, etc. Ainsi, en la personne d'un tel employé, nous avons une unité de combat autonome qui peut remplacer le chef de service pendant la période de son absence sans perte de qualité.
Mais que se passe-t-il à côté de l'employé qui a gravi les échelons, appelé Analyste? L'échelle de développement Solar JSOC ne s'arrête pas là.
Vous pouvez vous concentrer sur le développement et «creuser profondément», améliorer vos connaissances et vos compétences d'analyste dans un centre de surveillance, devenant progressivement un expert invétéré qui ne se soucie plus du niveau de complexité des tâches.
Vous pouvez optimiser le travail des analystes, ainsi que superviser les gars qui commencent à travailler dans cette position. En d'autres termes, passez progressivement au rôle de chef d'équipe local.
Et vous pouvez essayer de rejoindre les rangs des gestionnaires classiques et assumer la charge d'un gestionnaire de services, assumer des tâches difficiles telles que la surveillance de la conformité aux SLA, la gestion du service Solar JSOC, l'interaction avec le client en termes de niveau de service fourni.
Nous essayons d'aider chaque employé à décider du vecteur de développement le plus adapté pour lui et à se retrouver dans la structure Solar JSOC.
