如今,即使是对hh.ru的粗略搜索,也可以找到约90个空缺,这些空缺在任务和功能上各有不同,其中包括魔术师“分析”和相当不错的付款条件。 在许多应聘者眼中,大数据和机器学习立即浮出水面,薪水开始跳高到远远超出市场并调零。 那么,监视中心的分析员谁是“负责确保客户不被黑客入侵的负责人”? 他们做什么工作,您需要知道什么并且能够担任这个职位?
在
之前的文章中,我们说过,这3行分析师的主要任务清单包括:
- 分析异常活动以识别事件。
- 应对客户的非典型严重事件。
- 参与调查未通过监控记录的IS事件
- 技术检查,事件源的连接和改编。
- 开发新的事件检测方案。
总而言之,分析师负责监视客户网络威胁的技术方面。 源不发送日志,事件不解析,脚本不起作用或伪造,他们错过了攻击-指派给客户的分析师负责所有事情。
但是,这并不意味着所有Solar JSOC分析人员到30岁时都是灰色或秃顶。 不是全部。 只是这个角色意味着对表演者的高要求。 让我们尝试更详细地描述它们。我们将立即引起注意的一个事实是,在本文中,我们故意没有将重点放在我们希望候选人担任Solar JSOC分析师所期望的技术能力上。 关于技术已经有很多说法,但是,正如我们系列文章的名称所说,SOC是人。
战斗并寻求
我们不会专注于此,但是您不能对SIEM谈几句话:)他们在职位描述中经常会写:“ SIEM系统的经验”。 一方面,一切都很清楚:SIEM是SOC引擎,没有它,他们所称的“将无法使用”服务。 (有些专家有异议,也有他们自己的观点,有生命权,没有SIEM即可构建SOC的理论,但这仍然不是本文的主题。)
但是,实际上,这些话语背后的内容不仅仅是查看特定IT系统日志的功能。
分析人员必须能够基于有关客户基础架构的最少信息对攻击媒介进行建模。 当然,碰巧的是,当客户连接时,我们从他那里获得有关L2-L3子网的完整信息,具有角色的服务器和AWP的列表,从AD和SCCM上传的信息等等。 在Solar JSOC专家中,甚至有一个传说,曾经有一个客户提供最新的所有信息。但是,不幸的是,情况并非总是如此,您必须与我们一起工作。 这意味着您需要能够评估所连接的源和已接收事件的充分性,以提供高质量的服务来监视和识别IS事件。 显然,为此,专家必须对用于构建典型公司基础结构的主要IT技术有深刻的了解。
同时,分析人员必须能够使用旧资源来解决新任务(在这种情况下,是非核心任务)。 例如,我们的客户银行之一在全国范围内拥有发达的ATM网络,这是一个严重的问题:使用的防病毒解决方案不允许我们评估使用防病毒软件覆盖这些ATM的完整性。 但是,我们连接了一个内核级防火墙,并且我们知道哪些处理服务ATM与之交互。 使用这些日志,负责的分析师能够准备要进行处理的ATM的IP地址列表,同时,防病毒解决方案控制中心的数据库不包含有关其代理的信息。 在几个月的联合密集工作中,我们设法将这类ATM的清单从几百个减少到了多个,而最初是原子的库存任务最终仍在持续进行。
寻找而不放弃
对于分析师而言,极其有用的是腐蚀性和对细节的关注。 调查正在运行的Solar JSOC脚本池未记录的事件是一项非常复杂的例行工作,涉及来自各种来源的数千甚至数百万个事件。 而这里最困难的事情是通过拉线找到一个线,将有可能解开整个事件的纠结。
例如,我们有一个案例,分析人员调查了未经授权进入客户基础架构的情况,无法找到原始的折衷点。 为了解决该问题,我们必须针对入站和出站网络连接建立一个月度报告,其中要包括属于客户外部地址池的IP地址。 而且,只有对这份报告进行了长时间的分析之后,才有可能找到从测试Web服务器到荷兰IP地址的非典型出站连接,这些连接最终被证明是反向Shell活动,由攻击者在受感染服务器上启动。
分析人员的部分任务要求与客户直接沟通。 有时,必须通过滴答声从中逐字地提取信息,例如,当请求以“上周对这样的工作站有什么可疑之处?”的形式到达时。 实际上,经过一系列前瞻性问题后,事实证明,在此工作站上工作的员工向吸烟室IS部门的同事抱怨说,桌面上缺少文件。 然后,安全人员决定询问外部SOC与之相关的内容,但是问题的措词含糊不清。 而且这种情况一直在发生。 很难高估团队合作的臭名昭著的能力,即与服务经理一起工作。 为了提供高质量的服务,重要的是要使团队朝一个方向发展,而不要像一个著名的寓言中那样。
个性持久,北欧
另外,值得一提的是,在所有简历中都非常熟悉的性格特征,没有人对此予以关注。 这是关于抗压力。 Solar JSOC提供24 x 7全天候服务,这意味着所有分析人员都可以全天候(昼夜不停地)接听电话,以参与重要事件的调查。 同时,如
统计数据所示,相当多的关键事件恰好在几个小时后发生。 每晚醒来几次的能力已成为人们关注的焦点,大脑必须启动并准备好立即感知最重要的信息。
由第一条监控线的工程师对所有记录的事件进行调查。 分析师的任务是在升级期间进行连接,并监视由第一行解决的事件调查的质量。 此外,工程师经常求助于分析人员,以帮助解释事件或评估事件的严重性。 这意味着分析人员必须指导其下级同事,监视调查质量的进展并向一线团队负责人提供反馈。
此外,客户经常要求提供有关事件的信息。 分析人员必须评估任务,正确解释它,并将其全部或部分交给一线工程师,以根据完成任务的难度而定。 重要的是不要将所有技术活动锁定在自己身上,并且将自主任务及时作为可扩展资源委派给第一线。 作为此类任务的示例,可以引用诸如“有必要在某些主机上卸载有关雇员N的活动的信息”或“请求提供有关与上个月的地址xxxx进行网络交互的信息”之类的请求。 如您所见,这些请求非常简单,但是它们在SIEM中的实现需要一定的时间,并且从第一行开始就非常可行。
“……让他们教我”
Solar JSOC如何补充? 我希望一切都很简单,如图所示,但可惜。
如果您不考虑从外部雇用人员以及横向过渡,那么分析师将以最自然的方式从响应工程师那里成长(有关此角色在JSOC帮派中的更多详细信息,请参见
此处和
此处 )。 正如这位著名人物所说,“只有这是合乎逻辑的”。
响应工程师很可能是从监视的第一线发展而来的,这意味着他经历了艰难的道路来调查持续的事件流,在Scylla False Positive和Charybdis False Negative之间进行操作。 此外,工程师已经掌握了更复杂的调查,与SIEM进行深入合作,连接事件源以及解决客户的特定问题的技能。 总的来说,他掌握了进一步发展的必要基础。
但这足以进行分析吗? 这是一个棘手的问题。 通常,对此没有统一的答案。 与响应工程师相比,分析师至少要承担新的责任-与客户互动。 对于许多人来说,这似乎是一件小事,但实践表明,事实并非如此。 许多沉迷于IT的人必须努力工作以克服恐惧,并学习如何与我们提供服务的人员进行沟通。 有些人承受着责任负担的压力。 从心理上讲,其他人很难接受分析师的职位将不再需要高级同志来对您进行仔细检查并指出错误。 对于许多人来说,压力太大了-当您执行非典型任务时,每一项任务都对您的技能提出了挑战,而当连续出现多个解决方案时,这是一个死胡同。 然后许多人只是放弃。 因此,人的素质在这里起着重要的作用。
作为分析师职位的翻译任务,我们通常提供两种类型的任务。 其中之一是开发JSOC内容的任务,例如,开发脚本块以检测新的攻击媒介。 从头开始-在Active Directory(特别是DCShadow)上检测攻击的实现。
除了处理内容外,在翻译过程中,分析师还被指定负责两个或三个Solar JSOC客户:检查其基础结构,连接的源以及从中接收的事件,验证连接的系统的完整性和运行脚本的范围,并继续监视检测到的事件和一线工程师的工作质量在这些事件上。 接受之后,有关此客户服务的技术方面的所有问题都将进入新分析师的职责范围。
分析团队具有职位排名。 初级分析员将自己担任新角色,并从事典型任务。 分析师是JSOC的主要打击力量,它关闭了主要任务池。 我也想谈谈高级分析师的角色。 顾名思义,高级分析师可以很好地处理他的主要任务,同时他了解Solar JSOC服务管理,能够评估业务风险,具有较高的沟通水平,并在必要时能够制定出非标准服务的体系结构等。 因此,在这样一名员工的手中,我们有一个独立的作战单位,可以在他缺席期间更换服务经理而不会造成质量损失。
但是,登上名为“分析师”的阶梯的员工旁边会发生什么? Solar JSOC的开发阶梯并不止于此。
您可以专注于开发和“深入研究”,提高您在监控中心的分析师的知识和技能,逐渐成为一名精通专家,不再关心任务的复杂性。
您可以优化分析师的工作,并监督开始担任这一职位的人员。 换句话说,逐渐晋升为当地团队的领导者。
而且,您可以尝试加入传统管理人员的队伍,并承担服务管理人员的重担,承担诸如监控SLA遵从性,管理Solar JSOC服务以及就提供的服务水平与客户进行互动之类的艰巨任务。
我们正在努力帮助每个员工确定最适合自己的发展媒介,并找到自己在Solar JSOC结构中的地位。
