Een dag uit het leven van een SOC-analist

Een Security Operations Center (SOC) is een centraal team binnen een organisatie dat verantwoordelijk is voor het continu monitoren en analyseren van de beveiliging van de organisatie of meerdere externe organisaties. Het SOC heeft als doel om cyberdreigingen proactief te detecteren, te analyseren en erop te reageren om de veiligheid van de IT-infrastructuur te waarborgen. In deze blog neem ik je mee in een dag uit het leven van een SOC-analist.

De rol van een SOC-analist

De rol van een SOC-analist is het vormen van de eerste verdedigingslinie tegen cyberaanvallen. Dit doen wij door middel van onder andere detectie, incidentrespons, analyse en rapportage. Wij werken met onze SOC/SIEM oplossing ook aan het identificeren van kwetsbaarheden en het implementeren van preventieve maatregelen om toekomstige aanvallen te detecteren.

06:40 uur: Opstaan en opstarten

Mijn dag begint om 6:40u, wanneer de wekker gaat. Soms wat eerder soms wat later, afhankelijk van de werkzaamheden de dag ervoor. Omdat ik totaal geen ochtend mens ben zit hier nogal wat variatie in. Maar met een labrador als trouwe vriend is de verplichting er wel om dit ritme aan te houden, anders zorgt zij er wel voor dat ik op moet staan om een blokje te lopen.

Tijdens het ontbijt scrol ik door sociale media om te zien wat de bijzonderheden in de wereld zijn die impact kunnen hebben op mijn dag. Na mijn ontbijt stap ik in de auto om ca 20 minuten naar kantoor te rijden. In de auto luister ik graag naar Radio 1 om daar ook weer de laatste berichtgeving vanuit de wereld mee te krijgen.

08:00 uur: ochtendroutine en SIEM-tooling checken

Bij het binnenlopen van ons SOC kijk ik direct op het dashboard naar het overzicht van de week en de dag. Hierin kan ik de openstaande en afgehandelde tickets en trends zien. Dit geeft vaak een goede indicatie hoe de dag gaat lopen. Als SOC-analist begin ik mijn ochtend meestal met het openen van de mailbox. Zo zie ik welke zaken gedurende de nacht gemeld zijn, en of er bijzonderheden zijn die invloed hebben op mijn dag.

Afhankelijk van de planning begin ik mijn dag met direct inloggen op onze SIEM-tooling om tickets op te pakken. Hierna bekijk ik threat hunting pagina’s om te zien wat er actueel is in de cyberspace. 

09:00 uur: Standup & shift-overdrachten

Aan het begin van de werkdag hebben wij als team altijd een stand-up. Tijdens deze korte bijeenkomsten bespreken wij de belangrijkste gebeurtenissen van de afgelopen 24 uur, huidige prioriteiten en eventuele uitdagingen. Wij opereren 24/7 middels een stand-by dienst, genaamd de call-out. De verantwoordelijke voor call-out koppelt gedurende de stand-up terug of er tijdens zijn of haar shift bijzonderheden hebben plaatsgevonden die gedurende de dag opgepakt dienen te worden of dat er zaken zijn voorgevallen die nader onderzoek vereisen.

Dit helpt iedereen op de hoogte te houden en zorgt voor een gecoördineerde aanpak. Zo weten wij wat we aan elkaar hebben als team. Daarna is het business as usual door aan de slag te gaan met je persoonlijke agenda of toegewezen taken van het dashboard. 

10:00 uur: Dagelijkse werkzaamheden

Als SOC-analist voer ik dagelijks een breed scala aan taken uit om de beveiliging van onze klanten te waarborgen. Door middel van onze SIEM-tooling (Exabeam) monitoren wij continu netwerkverkeer, systemen en applicaties om verdachte activiteiten te detecteren. Deze tooling genereert bij verdachte activiteiten een incident op de schaal van Medium, High en Critical. Alle incidenten komen op het board te staan, waarbij critical incidenten ook direct aan iedereen worden gerapporteerd via telefoon. Hier reageren wij snel op door de oorzaak te analyseren, de schade te beperken en de normale werking te herstellen. 

Daarnaast hebben wij een Jira-dashboard om de dagelijkse/wekelijkse terugkerende taken te noteren en toe te wijzen. Dit kan variëren van system health checks, tot threat hunting en vulnerability management. Als team wisselen wij wij deze taken af om ticketvermoeidheid te voorkomen en optimale analyses te kunnen uitvoeren.

12:00 uur: Lunchen

Samen met mijn collega’s gaan we lekker lunchen. Dit doen we meestal in de kantine van ons kantoor, waar we niet alleen eten maar ook informeel bijpraten over de privézaken die wij hebben meegemaakt zodat het niet alleen maar over ontwikkelingen in de cyberwereld of politiek gaat. Dit versterkt onze onderlinge band door wat met elkaar te grappen en onderlinge interesses te delen. Ook gaan we bij beter weer vaak een rondje lopen om toch even uit het SOC te zijn en wat zonlicht mee te pakken.

12:45 Incidentrapportages maken

SOC-analisten maken gedetailleerde rapporten over elk beveiligingsincident. Deze rapporten bevatten informatie over de aard van het incident, de genomen acties, de impact en aanbevelingen voor toekomstige preventie. Deze rapporten worden gedeeld met het team en soms met hogere managementlagen. Om van onszelf te leren reviewen wij maandelijks deze rapportages om te zien dat de hoge standaard aan communicatie wordt gewaarborgd en er gezamenlijk nog eens over te sparren.

13:00 uur: Wisselen van werkzaamheden en gebruik van communicatieplatforms

Dagelijks ontvangen we honderden meldingen, waarvan veel (gelukkig) vals-positieven zijn. Om alertmoeheid te voorkomen, werken we met een roulerend schema. Om 13:00 uur switch ik van mijn huidige taken naar een andere activiteit, zoals threat hunting of vulnerability management, om mijn focus en efficiëntie te behouden. Om overzicht te waarborgen gebruiken wij dashboarding en teamkanalen. Zo kunnen we snel informatie delen, vragen stellen en updates geven. Dit doen we voornamelijk om afdelingbreed of specialisatiebreed opmerkingen of vragen te kunnen doorzetten voor verbeteringen.

15:00 uur: Presentaties en ad-hoc vergaderingen

Cyberdreigingen worden steeds geavanceerder, dus continu leren en bijscholen is een belangrijk onderdeel van onze werkzaamheden. Daarom geven de opgerichte specialisaties regelmatig een presentatie over de nieuwste detectiemethoden of hunt die zij hebben ontwikkeld.

Bij ernstige incidenten of acute bedreigingen ook kunnen ad-hoc vergaderingen worden georganiseerd om snel te reageren en strategieën te bespreken. Dit doen we met een handjevol SOC-analysten die kennis van het desbetreffende incident of klant hebben. Dit zorgt ervoor dat het team snel kan schakelen en effectief kan reageren.

17:00 uur: Afsluiting van de dag en reflectie

Aan het einde van de dag draag ik mijn taken over aan de call-out. Deze persoon is verantwoordelijk voor het oppakken van urgente zaken tijdens de avond en nacht. Daarna  neem ik de tijd om te reflecteren op mijn werk. Ik evalueer wat goed ging, welke uitdagingen ik ben tegengekomen en wat ik heb geleerd.

Daarbij noteer ik eventuele feedback of ideeën voor verbetering. Dit kan variëren van aanpassingen in procedures tot suggesties voor nieuwe tools of training. Deze bevindingen en suggesties bespreek ik tijdens team vergaderingen of met mijn leidinggevende gedurende een Bila. Dit helpt bij het continu verbeteren van de SOC-operaties en het delen van kennis binnen het team.

Het werk van een SOC-analist kan stressvol zijn, dus het is belangrijk om tijd te nemen om te ontspannen en te herstellen na je dienst.

Toekomst van het werk van een SOC-analist

AI en machine learning worden steeds belangrijker in SOC's. Deze technologieën helpen bij het snel en nauwkeurig analyseren van grote hoeveelheden gegevens, het identificeren van patronen en afwijkingen die op een beveiligingsdreiging kunnen wijzen. In de toekomst zullen AI en machine learning nog meer worden ingezet voor voorspellende analyses, waardoor SOC's bedreigingen kunnen anticiperen en mitigeren voordat ze zich voordoen.

Ik zie AI als een ondersteunend middel om te kunnen sparren over een incident en om een bulk aan data te kunnen structuren en leesbaar te maken voor mijzelf. De AI helpt mij om data gestructureerd voor te schotelen en ik een weloverwogen beslissing kan maken op de data.