說明

網路對手不斷發展，科技日新月異。 SOC需要跟上步伐。

Cyber adversaries are continually evolving, and technology changes rapidly. SOCs need to keep pace.

作法

Threat Hunting 威脅狩獵

威脅狩獵是透過網路、端點、服務和資料進行主動安全搜索，以發現逃避現有常規工具和監控檢測的惡意或可疑活動

Cyber threat hunting is a proactive security search through networks,
endpoints, services, and data to discover malicious or suspicious activities that have evaded detection by existing, routine tools and monitoring.

在有人力的情況下，輪流擔任威脅狩獵是不錯的方式，可以跳出既有的框架(規則)，去調查、審視環境是否有異常，有時候可以找出意圖繞過監控的行為軌跡，也讓成員對整個環境更加了解。

PS. 每次狩獵都必須留下完整執行紀錄，不但可以知道這單期間做了什麼(很大機率什麼都沒發現)，下次執行時可以先做其他尚未狩獵過的路徑

Red teaming 紅隊

使用進攻戰術、技術和程序（TTP）來模擬現實世界威脅，以訓練和衡量用於保衛環境的人員、流程和技術的有效性的過程

Purple teaming 紫隊

和紅隊成員緊密合作的過程，迭代學習並提高SOC和其他防禦能力。

BAS (Breach and Attack Simulation)

透過以自動化方式執行技術安全控制來實現可重複、可測量和可擴展的技術安全控制測試

Deception

試圖隱藏網路和資產、製造不確定性和混亂及誤導對手的看法和決策。

Malware analysis 惡意軟體分析

了解可疑文件的行為和目的以幫助檢測、回應和減少威脅的過程

Digital forensics 數位取證

包括應用涉及對數位證據進行嚴格、可重複檢查的調查程序。

Tabletop exercise (TTX)

透過扮演不同的角色來回應一個或多個事件場景，以實踐事件回應準備工作，包括計劃、政策和程序。

結論

當覺得SOC已經成熟前面十個章節皆完成了，進一步想要精進，可以選擇這幾個主題發展。

參考