Soc

correlating-security-events-in-qradar giúp các nhóm SOC và phát hiện mối đe dọa đối chiếu các offense trong IBM QRadar bằng AQL, ngữ cảnh offense, rules tùy chỉnh và reference data. Dùng hướng dẫn này để điều tra sự cố, giảm false positive và xây dựng logic correlation mạnh hơn cho Incident Response.

building-vulnerability-scanning-workflow giúp các đội SOC thiết kế một quy trình quét lỗ hổng có thể lặp lại để phát hiện, ưu tiên xử lý, theo dõi khắc phục và báo cáo trên nhiều tài sản. Kỹ năng này hỗ trợ các tình huống Security Audit với điều phối trình quét, xếp hạng rủi ro theo KEV và hướng dẫn quy trình vượt ra ngoài một lần quét đơn lẻ.

Kỹ năng building-soc-metrics-and-kpi-tracking biến dữ liệu hoạt động của SOC thành các KPI như MTTD, MTTR, chất lượng cảnh báo, năng suất của nhà phân tích và độ phủ phát hiện. Kỹ năng này phù hợp với lãnh đạo SOC, vận hành an ninh và các nhóm observability cần báo cáo lặp lại, theo dõi xu hướng và bộ chỉ số thân thiện với lãnh đạo, được hỗ trợ bởi quy trình làm việc dựa trên Splunk.

Skill building-soc-playbook-for-ransomware dành cho các đội SOC cần một playbook ứng phó ransomware có cấu trúc rõ ràng. Nội dung bao gồm các tín hiệu phát hiện, cô lập, xử lý triệt để, khôi phục và quy trình sẵn sàng cho kiểm toán, bám sát NIST SP 800-61 và MITRE ATT&CK. Phù hợp cho việc xây dựng playbook thực tế, diễn tập tabletop và hỗ trợ Audit bảo mật.

Dùng skill building-soc-escalation-matrix để xây dựng một ma trận leo thang SOC có cấu trúc, với các mức độ nghiêm trọng, SLA phản hồi, luồng leo thang và quy tắc thông báo. Skill này bao gồm mẫu, ánh xạ theo tiêu chuẩn, quy trình làm việc và các script để áp dụng building-soc-escalation-matrix vào vận hành an ninh và công việc kiểm toán một cách thực tế.

building-incident-response-dashboard giúp các nhóm xây dựng dashboard ứng phó sự cố theo thời gian thực trong Splunk, Elastic hoặc Grafana để theo dõi sự cố đang diễn ra, trạng thái cô lập, tài sản bị ảnh hưởng, mức độ lan truyền IOC và mốc thời gian xử lý. Hãy dùng skill building-incident-response-dashboard này khi bạn cần một dashboard tập trung cho nhà phân tích SOC, trưởng điều phối sự cố và ban lãnh đạo.

building-detection-rules-with-sigma giúp nhà phân tích xây dựng các Sigma detection rules có thể tái sử dụng từ threat intel hoặc rule của nhà cung cấp, ánh xạ chúng sang MITRE ATT&CK và chuyển đổi cho các SIEM như Splunk, Elastic và Microsoft Sentinel. Hãy dùng hướng dẫn building-detection-rules-with-sigma này cho quy trình Security Audit, chuẩn hóa và detection-as-code.

building-detection-rule-with-splunk-spl giúp các nhà phân tích SOC và kỹ sư phát hiện xây dựng các truy vấn tương quan Splunk SPL để phát hiện mối đe dọa, tinh chỉnh và rà soát Security Audit. Dùng skill này để biến một brief phát hiện thành rule có thể triển khai, kèm mapping MITRE, enrichment và hướng dẫn xác thực.

Kỹ năng analyzing-windows-event-logs-in-splunk giúp các nhà phân tích SOC điều tra log Windows Security, System và Sysmon trong Splunk để tìm các cuộc tấn công xác thực, leo thang đặc quyền, duy trì hiện diện và di chuyển ngang. Hãy dùng kỹ năng này cho phân loại sự cố ban đầu, kỹ thuật phát hiện và phân tích dòng thời gian với các mẫu SPL đã được ánh xạ cùng hướng dẫn event ID.