Trong một Trung tâm Điều hành An ninh mạng (Security Operations Center – SOC), có hai vai trò phối hợp nhịp nhàng như đội hình phản ứng nhanh và lực lượng điều tra chủ động: Security Analysts/Incident Responders và Threat Hunters.
1. Security Analysts & Incident Responders – Đội Phản Ứng Nhanh
Họ là những người như lực lượng cảnh sát tuần tra – luôn túc trực và phản ứng với các cảnh báo từ hệ thống (alert-based). Họ sử dụng các playbook – kịch bản xử lý sự cố đã được chuẩn hóa để:
Xác minh cảnh báo từ SIEM/EDR/NDR.
Tìm kiếm các hành vi đáng ngờ trên mạng.
Khoanh vùng, cô lập, và xử lý sự cố an ninh.
Ghi lại các sự kiện và phối hợp phản ứng liên phòng ban.
Tư duy chính: Phản ứng với những gì hệ thống cảnh báo, thực thi đúng quy trình (runbook), tuần tra theo lộ trình.
Ví dụ thực tế: Khi phát hiện một alert từ hệ thống phát hiện tấn công brute-force vào máy chủ SSH, Analyst sẽ xác minh alert, kiểm tra log authentication, và nếu hợp lệ, kích hoạt playbook để khóa IP tấn công và thông báo cấp trên.
2. Threat Hunters – Thám tử số chủ động
Ngược lại với SOC Analysts, các Threat Hunters không chờ cảnh báo, mà luôn hoạt động với một giả định rằng “tổ chức đã bị xâm nhập” (Presumption of Compromise).
Họ chủ động:
Phân tích các hành vi bất thường (anomaly-based).
Săn tìm TTPs (Tactics, Techniques, and Procedures) của attacker.
Kiểm tra các dấu hiệu tồn tại bền vững (persistence), điều khiển từ xa (C2), hoặc dữ liệu bị rò rỉ.
Khai thác threat intelligence và log để phát hiện các hoạt động chưa được hệ thống phát hiện.
Tư duy chính: Không đợi cảnh báo – chủ động nghi ngờ, phát hiện theo logic điều tra.
Ví dụ thực tế: Threat Hunter có thể tìm kiếm các endpoint có quá trình lạ chạy PowerShell từ Word document – đây là TTP quen thuộc của các chiến dịch spear-phishing nâng cao.
Mối liên kết vòng lặp
Hai vai trò này luân chuyển và hỗ trợ lẫn nhau. Khi threat hunter phát hiện IOC hoặc TTP mới, thông tin này sẽ được đưa vào playbook để Analyst giám sát. Ngược lại, khi analyst gặp các alert chưa rõ nguyên nhân, hunter có thể vào cuộc điều tra sâu.
Tổng kết
SOC là một cấu trúc vận hành sống động giữa “người ứng cứu” và “người điều tra”, nơi sự cân bằng giữa phản ứng nhanh và chủ động săn tìm quyết định khả năng phát hiện sớm và phản ứng chính xác trước các mối đe dọa hiện đại.
Bạn thuộc kiểu nào?
Nếu bạn yêu thích hành động nhanh, phản ứng tức thì với alert → Hãy làm Analyst/Responder.
Nếu bạn thích phân tích, điều tra sâu, làm việc không cần alert → Hãy theo hướng Threat Hunter.
Nếu bạn đang xây dựng một đội SOC hoặc muốn bước chân vào lĩnh vực này, đừng bỏ qua việc phát triển cả hai năng lực trên, vì chúng bổ sung lẫn nhau để tạo nên một hệ thống phòng thủ mạnh mẽ và linh hoạt.
