Junior Security Analyst Intro
Task 1 - A career as a Junior (Associate) Security Analyst
Básicamente intenta decirnos que nos vamos aponer en el rol de un analista de SOC y vamos a pasar mucho tiempo de nuestra jornada analizando y monitoreando eventos y alertas.
En el rol de analista de seguridad junior, usted será un especialista en traje. Pasará mucho tiempo clasificando o monitoreando los registros de eventos y alertas.
Las responsabilidades de un analista de seguridad junior o analista SOC de nivel 1 incluyen:
- Supervise e investigue las alertas (la mayoría de las veces, es un entorno de operaciones SOC 24x7)
- Configurar y administrar las herramientas de seguridad
- Desarrollar e implementar firmas IDS (Sistema de Detección de Intrusos) básicas
- Participar en grupos de trabajo SOC, reuniones
- Crear tickets y escalar los incidentes de seguridad al Nivel 2 y al Líder de Equipo si es necesario
Calificaciones requeridas (más comunes):
- 0-2 años de experiencia en operaciones de seguridad
- Conocimientos básicos de redes (modelo OSI (modelo de interconexión de sistemas abiertos) o modelo TCP / IP (protocolo de control de transmisión / modelo de protocolo de Internet)), sistemas operativos (Windows, Linux), aplicaciones web. Para obtener más información sobre los modelos OSI y TCP/IP, consulte la Sala de redes introductoria.
- Las habilidades de scripting / programación son una ventaja
Certificación deseada:
- Seguridad CompTIA+
A medida que progrese y avance en sus habilidades como analista de seguridad junior, eventualmente pasará al nivel 2 y al nivel 3.
Descripción general del modelo de tres niveles del Centro de operaciones de seguridad (SOC):
Ahora les dejo las respuestas a las preguntas:
¿Cuál será su papel como analista de seguridad junior?
RTA: Triage Specialist
Task 2 - Centro de Operaciones de Seguridad (SOC)
Entonces, ¿qué es exactamente un SOC?
En Básicas palabras, lo que hace el personal de soc, es defender la infraestructura de una empresa de los ataques ciberneticos 24/7 los 365 días del año
Protegen la propiedad intelectual, los datos personales, los sistemas empresariales y la reputación de la marca, el número de personas que trabajan en un soc podría varias del tamaño de la organización.
Les dejo un enlace a la definición de soc según McAfee
¿Qué se incluye en las responsabilidades del SOC?
Preparación y Prevención
Como analista de seguridad Jr es fundamenta mantenerse informado, siendo así entonces por la mañana antes de leer los mails, mientras disfruto mi taza de cafe, podría tomarme unos minutos a leer sobre amenazas actuales de Ciber ya sea via Twitter y Feedly ya que pueden ser excelentes recursos.
Entre los metodos de prevencion incluyen la recopilacion de datos de inteligencia sobre las ultima amenazas, las técnicas y tacticas(TTP) que utilizan los actores para atacar, los parches y soluciones para mitigar un futuro posible ataque, direcciones ip o correos electrónicos denunciados por la comunidad.
Segun Tryhackme es crucial trabajar en una hoja de ruta para proteger a la organizacion y estar preparado para el pero de los casos.
Para comprender mejor los TTP, debe consultar una de las alertas de CISA (Agencia de Seguridad de Ciberseguridad e Infraestructura) en APT40 (Chinese Advanced Persistent Threat). Consulte el siguiente enlace para obtener más información, https://us-cert.cisa.gov/ncas/alerts/aa21-200a.
Como analistas de un SOC debemos tener herramientas para clasificar las alertas y criticidad de las mismas, imagine que somo miembro del grupo de bomberos y tener un incendio de múltiples alarmas, la categoría se clasificara por la gravedad del incendio.
Como analista de seguridad aprenderemos a clasificar las alertas atacando las más críticas y luego ir hasta las mas bajas.
Un SOC utiliza de forma proactiva las herramientas SIEM (Security information and event management) y EDR (Endpoint Detection and Response)
Tener implementadas las herramientas de monitoreo de seguridad configuradas correctamente le dará la mejor oportunidad de mitigar la amenaza.
Los analistas de seguridad desempeñan un papel crucial en el procedimiento de investigación. Realizan la clasificación de alertas, entendiendo cómo funciona un determinado ataque y evitando que sucedan
Es importante preguntarse "¿cómo? ¿cuándo y porque?" los analistas encuentran estas respuestas profundizando en los registros de datos y alertas en combinación con el uso de herramientas de código abierto.
Después de la investigación, el equipo de SOC coordina y toma medidas sobre los hosts comprometidos, lo que implica aislar los hosts de la red, terminar los procesos maliciosos, eliminar archivos y más.
Task 3 - Un día en la vida de un analista de seguridad junior (asociado)
Para comprender las responsabilidades laborales de un analista de seguridad junior (asociado), permítanos mostrarle primero cómo es un día en la vida del analista de seguridad junior y por qué este es un viaje profesional emocionante.
Estar en primera línea no siempre es fácil y puede ser muy desafiante, ya que trabajará con varias fuentes de registro de diferentes herramientas que lo guiaremos en este camino. Tendrá la oportunidad de monitorear el tráfico de la red, incluidas las alertas IPS (Sistema de prevención de intrusiones) e IDS (Sistema de detección de intrusiones), correos electrónicos sospechosos, extraer los datos forenses para analizar y detectar los posibles ataques, utilizar inteligencia de código abierto para ayudarlo a tomar las decisiones adecuadas sobre las alertas.
Una de las cosas más emocionantes y gratificantes es cuando terminas de trabajar en un incidente y has logrado remediar la amenaza. La respuesta a incidentes puede tardar horas, días o semanas; Todo depende de la escala del ataque: ¿logró el atacante filtrar los datos? ¿Cuántos datos logra exfiltrar el atacante? ¿El atacante intentó pivotar hacia otros hosts? Hay muchas preguntas que hacer y mucha detección, contención y remediación que hacer. Le guiaremos a través de algunos conocimientos fundamentales que todo analista de seguridad junior (asociado) necesita saber para convertirse en un defensor de red exitoso.
Lo primero que hacen casi todos los analistas de seguridad junior (asociados) en su turno es mirar los tickets para ver si se generaron alertas.
¿Estás listo para sumergirte en el papel de un analista de seguridad junior por un tiempo?
Haga clic en el botón verde Ver sitio en esta tarea para abrir el laboratorio de sitios estáticos y navegue hasta la herramienta de monitoreo de seguridad en el panel derecho para intentar identificar la actividad sospechosa.
RTA: No necesita Respuesta
Chicos, voy a proceder a responder el resto de las preguntas de la tarea 3, mi idea era importar un video pero salio mal, lo tengo que convertir a un formato que Blogger lo detecte, luego lo hare.
Por el momento, voy a proceder a explicarles como respondí las siguientes preguntas.
Básicamente el ejercicio, simula ser un SIEM donde detecta eventos sospechosos y nos detalla unas ip, es muy rapido de identificar ya que de los cuatro eventos que me muestra si pasamos el mouse por arriba atomaticamente se pinta de rojo, en la vida real vamos a tener muchos más eventos, pero básicamente así funciona
Automáticamente el siguiente paso es notificar el Team Leader del SOC: Will Griffin
El siguiente paso es bloquear la dirección ip en el firewall para que no pase a nuestro sistema
Luego de bloquear la ip, tendremos nuestra bandera.
¿Cuál era la dirección IP maliciosa en las alertas?
221.181.185.159
¿A quién escaló el evento asociado con la dirección IP maliciosa?
Will Griffin
Después de bloquear la dirección IP maliciosa en el firewall, ¿qué mensaje le dejó el actor malicioso?
THM{UNTIL-WE-MEET-AGAIN}
