ISELAB SOC by Scenario

SOC là gì? Giới thiệu về Security Operations Center

📅 Ngày đăng: 24/10/2025 | 👤 Tác giả: ISELab Team | ⏱️ Thời gian đọc: ~8 phút

🔍 SOC là gì?

SOC (Security Operations Center) là trung tâm điều hành an ninh mạng - một đơn vị chuyên biệt chịu trách nhiệm giám sát, phát hiện, phân tích và ứng phó với các mối đe dọa an ninh mạng 24/7.

Có thể hình dung SOC như một "trạm cảnh sát" trong không gian mạng, nơi các chuyên gia an ninh làm việc không ngừng nghỉ để bảo vệ hệ thống, dữ liệu và cơ sở hạ tầng của tổ chức khỏi các cuộc tấn công mạng.

🎯 Vai trò và nhiệm vụ chính của SOC

1. Giám sát liên tục (Continuous Monitoring)

Thu thập và theo dõi logs từ tất cả các nguồn: firewall, IDS/IPS, endpoint, server, ứng dụng, cloud... 24/7 để phát hiện sớm các dấu hiệu bất thường.

2. Phát hiện mối đe dọa (Threat Detection)

Sử dụng các công cụ SIEM, EDR, XDR kết hợp với Threat Intelligence để phát hiện các hành vi độc hại, malware, APT, insider threats...

3. Phân tích và điều tra (Analysis & Investigation)

Phân tích cảnh báo để xác định True Positive/False Positive, điều tra sâu để hiểu rõ phạm vi, nguyên nhân và tác động của sự cố.

4. Ứng cứu sự cố (Incident Response)

Thực hiện các hành động khẩn cấp: cách ly thiết bị nhiễm mã độc, chặn IP/domain độc hại, disable tài khoản bị xâm nhập, khôi phục hệ thống...

5. Threat Hunting

Chủ động tìm kiếm các mối đe dọa tiềm ẩn trong hệ thống mà chưa được phát hiện bởi các công cụ tự động.

6. Báo cáo và cải tiến (Reporting & Improvement)

Lập báo cáo định kỳ, phân tích xu hướng tấn công, đề xuất cải tiến quy trình và nâng cao khả năng phòng thủ.

👥 Cấu trúc nhân sự trong SOC

Vị trí Vai trò Kỹ năng cần có
SOC Analyst L1 (Tier 1) Giám sát cảnh báo, phân loại True/False Positive, escalate lên L2 Hiểu biết cơ bản về network, OS, log analysis, SIEM
SOC Analyst L2 (Tier 2) Điều tra sâu, phân tích malware, threat hunting, xử lý incident phức tạp Kinh nghiệm về forensics, malware analysis, scripting (Python, PowerShell)
SOC Analyst L3 / Incident Response Lead Điều phối ứng cứu sự cố nghiêm trọng, threat hunting nâng cao, mentoring team Chuyên sâu về APT, forensics, reverse engineering, leadership
SOC Manager Quản lý team, quy trình, KPI, báo cáo lên CISO, phối hợp với các bộ phận Kinh nghiệm quản lý, hiểu biết kỹ thuật sâu, communication skills

🛠️ Các công cụ chính trong SOC

SIEM (Security Information and Event Management)

Thu thập, phân tích và tương quan logs từ nhiều nguồn.

Ví dụ: Splunk, ELK Stack, QRadar, Sentinel

EDR/XDR (Endpoint/Extended Detection and Response)

Giám sát và phản ứng với các mối đe dọa trên endpoint.

Ví dụ: CrowdStrike, SentinelOne, Cortex XDR

Threat Intelligence Platform

Cung cấp thông tin về IoC, TTPs của threat actors.

Ví dụ: MISP, ThreatQ, GroupIB

SOAR (Security Orchestration, Automation and Response)

Tự động hóa quy trình xử lý cảnh báo và ứng cứu sự cố.

Ví dụ: IBM Resilient, Palo Alto XSOAR

⚙️ Quy trình làm việc điển hình trong SOC

1

Alert Generation

SIEM/EDR phát hiện hoạt động bất thường và tạo cảnh báo

2

Triage (SOC L1)

Phân loại cảnh báo: True Positive / False Positive / Benign Positive

3

Investigation (SOC L2)

Điều tra sâu: timeline, scope, root cause, impact assessment

4

Response & Remediation

Thực hiện containment, eradication, recovery theo playbook

5

Documentation & Lessons Learned

Lập báo cáo, rút kinh nghiệm, cập nhật detection rules

📚 Kỹ năng cần thiết để làm việc trong SOC

Kỹ thuật (Technical Skills)

  • Network fundamentals: TCP/IP, DNS, HTTP/HTTPS, protocols
  • Operating Systems: Windows, Linux (process, registry, file system)
  • Log analysis: Windows Event Logs, Syslog, Web logs
  • SIEM operations: KQL, SPL (Splunk), queries, dashboards
  • Threat Intelligence: IoC, MITRE ATT&CK framework
  • Scripting: Python, PowerShell, Bash

Kỹ năng mềm (Soft Skills)

  • Tư duy phân tích và logic
  • Khả năng làm việc dưới áp lực
  • Communication skills: viết báo cáo, trình bày kỹ thuật
  • Teamwork: phối hợp với IT, Legal, Management
  • Học hỏi liên tục: công nghệ và threat landscape thay đổi nhanh

🚀 Lộ trình phát triển sự nghiệp SOC Analyst

Intern SOC Analyst (0-1 năm)

Monitor alerts, ticket handling, escalation, basic triage

SOC Analyst L1 (1-2 năm)

Alert triage, basic investigation, use case tuning

SOC Analyst L2 (2-4 năm)

Deep investigation, malware analysis, threat hunting, incident response

Senior SOC Analyst / L3 (4-6 năm)

Advanced threat hunting, forensics, mentoring juniors, playbook development

SOC Lead / Manager (6+ năm)

Team management, process improvement, KPI tracking, strategic planning

💡 Tại sao nên làm việc trong SOC?

Môi trường học hỏi nhanh: Tiếp xúc với các mối đe dọa thực tế hàng ngày, luôn cập nhật về threat landscape mới nhất.

Nghề nghiệp ổn định: Nhu cầu về SOC Analyst ngày càng tăng khi các tổ chức đầu tư mạnh vào cybersecurity.

Lộ trình phát triển rõ ràng: Từ L1 → L2 → L3 → Manager, hoặc chuyển sang Threat Hunter, Forensics, Penetration Testing...

Công việc có ý nghĩa: Bảo vệ tổ chức khỏi các cuộc tấn công mạng, giữ an toàn cho dữ liệu và người dùng.

🎯 Sẵn sàng trải nghiệm vai trò SOC Analyst?

Hãy thử sức với các tình huống thực tế trong SOC by Scenario để hiểu rõ hơn về công việc hàng ngày của một SOC Analyst!

Xem các tình huống → ← Quay lại Blog