EC-Council Certified SOC Analyst (CSA)

Khóa học Certified SOC Analyst (CSA) là chương trình đào tạo chuyên sâu, tập trung vào kỹ năng thực hành, được thiết kế để chuẩn bị cho học viên vai trò của một Chuyên viên Phân tích tại Trung tâm Điều hành An ninh (SOC Analyst) cấp độ 1 (Tier I) và cấp độ 2 (Tier II).

Không giống như các chứng chỉ lý thuyết, CSA tập trung vào các quy trình, công nghệ và kỹ năng thực chiến hàng ngày của một SOC. Học viên sẽ được đặt mình vào vị trí của một người phòng thủ, học cách giám sát, phát hiện, phân tích và ứng phó với các mối đe dọa an ninh mạng trong thời gian thực.

Đối tượng mục tiêu:

• Các chuyên viên đang hoặc có mong muốn làm việc tại các vị trí SOC Analyst (Tier I, Tier II).

• Quản trị viên mạng, quản trị viên hệ thống muốn chuyển sang lĩnh vực giám sát an ninh.

• Kỹ sư bảo mật, chuyên gia ứng phó sự cố.

• Sinh viên ngành an toàn thông tin muốn trang bị kỹ năng thực tế để ứng tuyển.

Nội dung cốt lõi của khóa học:

Khóa học này có cường độ cao (thường kéo dài 3 ngày) và bao phủ toàn bộ các khía cạnh vận hành của một SOC hiện đại:

• Vận hành và Quản lý SOC (SOC Operations and Management):

  • Hiểu rõ các quy trình, vai trò và trách nhiệm trong một SOC.

  • Nắm vững quy trình làm việc (workflow) và các công nghệ cốt lõi của SOC.

• Hiểu về các Mối đe dọa và Phương pháp Tấn công:

  • Phân tích các mối đe dọa, lỗ hổng và hành vi của kẻ tấn công.

  • Nhận diện các Dấu hiệu của sự Xâm phạm (IoCs – Indicators of Compromise) và áp dụng vào các cuộc điều tra.

• Quản lý Sự kiện và Log (Incidents, Events, and Logging):

  • Quản lý và phân tích log từ nhiều nguồn khác nhau (IDS/IPS, firewall, máy chủ, máy trạm).

• Phát hiện sự cố với SIEM (Incident Detection with SIEM):

  • Đây là phần quan trọng nhất, tập trung vào việc sử dụng các công cụ Quản lý Thông tin và Sự kiện An ninh (SIEM).

  • Thực hành trên các nền tảng SIEM phổ biến như Splunk, ELK Stack, AlienVault/OSSIM để phát hiện các mẫu tấn công.

• Nâng cao khả năng phát hiện với Trí tuệ An ninh mạng (Threat Intelligence):

  • Tích hợp các nguồn tin tức về mối đe dọa (Threat Intelligence Feeds) vào SIEM để chủ động săn lùng và phát hiện các mối nguy hiểm mới nhất.

• Ứng phó sự cố (Incident Response):

  • Thực hành các bước trong quy trình ứng phó sự cố.

  • Phối hợp với các đội nhóm khác như Đội Ứng cứu Sự cố Máy tính (CSIRT).