SOC Relevant Data and Security Event Data Introduction
04-09-2025
SOC Analyst không thể chỉ dựa vào một loại dữ liệu duy nhất để điều tra sự cố an ninh mạng? Thực tế, mỗi loại dữ liệu trong giám sát an ninh mạng giống như một mảnh ghép trong bức tranh lớn: từ “hóa đơn điện thoại” (session data) cho đến “nghe lén đường dây” (full packet capture). Chỉ khi ghép tất cả chúng lại, bức tranh toàn cảnh mới xuất hiện.
Trong SOC, khi phản ứng với sự cố, analyst phải hiểu rõ attack kill chain và chọn đúng loại dữ liệu để phân tích. Sau đây là những loại dữ liệu quan trọng nhất:
1. Session Data (Dữ liệu phiên)
Còn gọi là flow data, mô tả một cuộc hội thoại tóm tắt giữa hai thiết bị đầu cuối.
Ví dụ: giống như hóa đơn điện thoại – biết ai gọi ai, lúc nào, trong bao lâu, nhưng không biết nội dung cuộc gọi.
Bao gồm 5-tuple: transport protocol, source IP, source port, destination IP, destination port.
