# SOC

Security Operations Center

<details>

<summary>Benefits of a SOC</summary>

* Real-time Monitoring (theo dõi thời gian thực): sử dụng các giải pháp bảo mật như SIEMs, XDR (Extended Detection and Response phát hiện và ứng phó mở rộng), SOAR, etc. Cung cấp giám sát 24/7 và phân tích môi trường của bạn để khám phá bất kỳ hoạt động hoặc hành vi đáng ngờ nào.
* Responds to Incidents (ứng phó và phục hồi sự cố): SOC đóng vai trò là cơ quan ứng phó đầu tiên đối với các sự cố bảo mật. Khi một cuộc tấn công đã được xác định SOC phản hồi bằng cách thực hiện các hành động nhằm hạn chế sự gián đoạn trong kinh doanh, thông qua các hành động như cô lập các endpoints, chấm dứt các trường hợp có hại, xóa các tập tin độc hại và hơn thế nữa,.. Trong trường hợp tấn công thành công, nhóm SOC chịu trách nhiệm về hành động khôi phục chẳng hạn như kết nối lại endpoints, emails, chuyển sang bản backups và hơn thế nữa.
* Threat intelligence (thông báo về mối đe dọa): SOC cung cấp cho các tổ chức với thông tin tình báo về mối đe dọa có giá trị giúp họ được thông tin về các mối đe dọa mới nhất, tấn công, và chiến thuật. Thông tin này có thể được sử dụng để cải thiện tình hình an ninh tổng thể của tổ chức và ngăn chặn các sự cố bảo mật trong tương lai.
* Comliance with regulations (tuân thủ các quy định): Thông qua các hành động như hệ thống kiểm tra thường xuyên, thông báo cho cơ quan chức năng và khách hàng sau khi vi phạm dữ liệu và hơn thế nữa, SOC có thể giúp tổ chức tuân thủ với nhiều quy định an ninh khác nhau, chẳng hạn như Quy định bảo về dữ liệu toàn cầu (GDPR - Global Data Protection Regulation), Đạo luật về trách nhiệm giải trình và cung cấp bảo hiểm y tế (HIPAA - Heath Insurance Protability and Accountabilỉy Act), và hơn thế nữa.
* Decreased Cost of Breaches (Giảm chi phí vi phạm): Một vi phạm thành công có thể gây ra tốn kém cho các tổ chức từ các biện pháp trừng phạt theo quy định đến thiệt hại về danh tiếng. Phục hồi thường dẫn đến thười gian chết (downtime) đáng kể. Bằng cách đi trước những kẻ tấn công và ứng phó nhanh chóng với các sự cố, SOC giúp các tổ chức tiết kiệm thời gian và tiền bạc khi họ trở lại hoạt động bình thường.

</details>

<figure><img src="/files/oyQKTpGY2xmOGBpPC0e5" alt=""><figcaption></figcaption></figure>

<details>

<summary>How It Works?</summary>

* SOC hoạt động bằng cách ngồi ở giữa và sử dụng các tools như SIEM để lấy dữ liệu từ các thiết bị mạng. Chẳng hạn như switches and routers. Và các security tools như firewall, antivirus software, IDPS, and your servers, và xem tất cả điều này thông qua bảng điều khiển quản lý.
* Với dữ liệu này, nhóm SOC sẽ giám sát tài nguyên của bạn responds để thông báo, anayzes and reports về các hoạt động bảo mật trong môi trường của bạn.

</details>

#### SOC Deployment Models

Các mô hình phổ biến nhất bao gồm: the in-house and the managed approaches (cách tiếp cận được quản lý).

<details>

<summary>In-House SOC</summary>

* Nó được sở hữu và vận hành bởi tổ chức sử dụng nó.
* nó được khuyến khích cho các doanh nghiệp lơn hơn hoặc kỹ càng (mature)
* thời gian ứng phó sự cố nhanh chóng
* Những thách thức bao gồm thời gian đáng kể và tài nguyên cần thiết để set up nó.

</details>

<details>

<summary>SOC as a Service</summary>

* Được điều hành bởi nhà cung cấp dịch vụ bảo mật được quản lý (MSSP)
* Mô hình này có thể thích hợp hơn cho các tổ chức với ngân sách hoặc hạn chế về năng lực để chạy SOC 24/7 in-house SOC
* Đó là một cách tiếp cận đơn gian và nhanh chóng có thể mở rộng và tiết kiệm chi phí.
* Một nhược điểm có thể là nó làm lộ dữ liệu của tổ chức cho bên thứ ba.

</details>

<details>

<summary>Hybrid SOC</summary>

* Hầu hết các tổ chức sử dụng phương pháp này.
* Có một đội ngũ an ninh trưởng thành nhưng không đủ khả năng để chạy một SOC nội bộ đầy đủ chức năng.
* Giải pháp này hiệu quả vì nó bổ sung những khoảng trống trong khả năng bảo mật của tổ chức và cung cấp thời gian phát hiện và phản hồi nhanh chóng.
* Tuy nhiên nhược điểm lớn của mô hình là thực tế một số dữ liệu sẽ được xử lý thông qua bên thứ 3 và mô hình này có thể tốn kém để duy trì trong thời gian dài.

</details>

<details>

<summary>Cân nhắc khi nào nên triển khai SOC</summary>

* SOC cung cấp những khả năng gì mà tổ chức của chúng ta cần hôm nay và trong tương lai?
* Một số lơiị thế về số liệu hữ hình của SOC đối với tổ chức chúng ta là gì?
* Những kết quả nào sẽ được SOC mang lại đối với tổ chức của chúng ta là gì?

</details>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/role/information-security-specialist/siem/2.-related-technologies-and-systems/soc.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.