Soc

correlating-security-events-in-qradar aide les équipes SOC et détection à corréler les offenses IBM QRadar avec AQL, le contexte des offenses, des règles personnalisées et les données de référence. Utilisez ce guide pour enquêter sur les incidents, réduire les faux positifs et renforcer la logique de corrélation pour la réponse aux incidents.

building-vulnerability-scanning-workflow aide les équipes SOC à concevoir un processus de scan de vulnérabilités reproductible pour la découverte, la priorisation, le suivi de remédiation et le reporting sur l’ensemble des actifs. Il prend en charge les cas d’usage d’audit de sécurité avec orchestration de scanners, hiérarchisation des risques enrichie par les KEV et conseils de workflow au-delà d’un scan ponctuel.

Le skill building-soc-metrics-and-kpi-tracking transforme les données d’activité d’un SOC en KPI comme le MTTD, le MTTR, la qualité des alertes, la productivité des analystes et la couverture de détection. Il convient aux équipes de direction SOC, aux opérations de sécurité et aux équipes d’observabilité qui ont besoin de रिपोर्टings reproductibles, du suivi des tendances et de métriques parlantes pour les décideurs, appuyés par des workflows basés sur Splunk.

Le skill building-soc-playbook-for-ransomware s’adresse aux équipes SOC qui ont besoin d’un playbook structuré de réponse au ransomware. Il couvre les déclencheurs de détection, le confinement, l’éradication, la reprise et des procédures prêtes pour l’audit, alignées sur NIST SP 800-61 et MITRE ATT&CK. À utiliser pour créer un playbook concret, animer des exercices de simulation et soutenir les audits de sécurité.

Utilisez le skill building-soc-escalation-matrix pour կառուցire une matrice d’escalade SOC structurée avec des niveaux de gravité, des SLA de réponse, des chemins d’escalade et des règles de notification. Il inclut un modèle, le rapprochement avec les standards, des workflows et des scripts pour une utilisation concrète de building-soc-escalation-matrix dans les opérations de sécurité et les travaux d’audit.

building-incident-response-dashboard aide les équipes à créer des tableaux de bord de réponse aux incidents en temps réel dans Splunk, Elastic ou Grafana pour suivre les incidents actifs, l’état du confinement, les actifs touchés, la propagation des IOC et les chronologies de réponse. Utilisez cette compétence building-incident-response-dashboard lorsque vous avez besoin d’un tableau de bord ciblé pour les analystes SOC, les coordinateurs d’incident et la direction.

building-detection-rules-with-sigma aide les analystes à créer des règles de détection Sigma portables à partir de renseignements sur les menaces ou de règles éditeur, à les mapper sur MITRE ATT&CK et à les convertir pour des SIEM comme Splunk, Elastic et Microsoft Sentinel. Utilisez ce guide building-detection-rules-with-sigma pour les workflows de Security Audit, la standardisation et la détection as code.

building-detection-rule-with-splunk-spl aide les analystes SOC et les ingénieurs détection à créer des recherches corrélées Splunk SPL pour la détection de menaces, le tuning et la revue Security Audit. Utilisez-le pour transformer un brief de détection en règle déployable, avec cartographie MITRE, enrichissement et consignes de validation.

La compétence d’analyse des journaux d’événements Windows dans Splunk aide les analystes SOC à enquêter, dans Splunk, sur les journaux Windows Security, System et Sysmon afin d’identifier des attaques d’authentification, des escalades de privilèges, des mécanismes de persistance et des mouvements latéraux. Utilisez-la pour le triage d’incidents, l’ingénierie de détection et l’analyse chronologique, avec des modèles SPL cartographiés et des indications sur les Event ID.