Junior Security Analyst Intro

ジュニア セキュリティ アナリストの役割は、トリアージ スペシャリスト

イベント ログとアラートのトリアージや監視に多くの時間を費やすことになる

ジュニア セキュリティ アナリストまたは Tier 1 SOCアナリストの仕事

アラートを監視して調査する（ほとんどの場合、24時間365日のSOC運用環境です）

セキュリティツールの設定と管理

基本的なIDS（侵入検知システム）シグネチャの開発と実装

SOCワーキンググループ、会議に参加する

チケットを作成し、必要に応じてセキュリティ インシデントを Tier 2 およびチーム リーダーにエスカレーションします。

必要な資格（最も一般的）:

セキュリティオペレーションの経験0～2年

ネットワーク (OSI モデル (開放型システム間相互接続モデル) または TCP/IP モデル (伝送制御プロトコル/インターネット プロトコル モデル))、オペレーティング システム (Windows、Linux)、Web アプリケーションに関する基本的な理解。

スクリプト/プログラミングスキルがあれば尚可

セキュリティオペレーションセンター(SOC)の3層モデルの概要

ジュニアセキュリティアナリスト (Tier 1)

トリアージ

ネットワークトラフィックログやイベントを監視

チケット対応やアラートのクローズ

基本的な調査や緩和策を実行

セキュリティオペレーションアナリスト (Tier 2)

インシデントレスポンダー

より深い調査、分析、修復を実施

攻撃者の積極的な探索 (ハンティング)

より複雑なアラートの監視と対応

セキュリティオペレーションアナリスト (Tier 3)

スレットハンター

高度な調査を実施

高度な脅威ハンティングや攻撃者のリサーチを実行

マルウェア解析

SOCの仕事

https://scrapbox.io/files/6756f526dd42f26f0af15bd5.png

ジュニア セキュリティ アナリストとして、最新のサイバー セキュリティの脅威について常に情報を入手する必要がある

Feedlyとかtwitterとかね

脅威を検出して追跡し、組織を保護するためのセキュリティ ロードマップを作成し、最悪のシナリオに備えることが重要

予防方法には、最新の脅威、脅威の主体、およびそのTTP (戦術、技術、手順)に関するインテリジェンス データの収集が含まれる

ファイアウォール シグネチャの更新、既存システムの脆弱性の修正、アプリケーション、電子メール アドレス、IP のブロック リストとセーフ リストの作成などのメンテナンス手順も含まれる

TTP をより深く理解するには、CISA (サイバーセキュリティおよびインフラストラクチャセキュリティ庁) のAPT40 (中国の高度で持続的な脅威) に関する アラート の 1 つを調べる必要がある

SOC チームは、SIEM (セキュリティ情報およびイベント管理)およびEDR (エンドポイント検出および対応)ツールを積極的に使用して、疑わしい悪意のあるネットワーク アクティビティを監視

調査中は、「どのように? いつ、なぜ?」という質問をすることが重要です。セキュリティ アナリストは、データ ログとアラートをドリルダウンし、オープンソース ツールを組み合わせて答えを見つける

IPS (侵入防止システム) およびIDS (侵入検知システム) アラート、疑わしい電子メールを含むネットワーク トラフィックを監視し、フォレンジック データを抽出して潜在的な攻撃を分析および検出し、オープン ソース インテリジェンスを使用してアラートに対して適切な決定を下すのが仕事

世の中には、AbuseIPDBやCisco Talos Intelligenceのような多くのオープンソースのデータベースがあります。これらを使ってIPアドレスの評判や位置情報を確認することができます。多くのセキュリティアナリストは、アラートの調査を支援するためにこれらのツールを活用している