# SIEM and Analyst Relationship
## 1. What is SIEM?
SIEM là một giải pháp bảo mật kết hợp thông tin bảo mật và quản lý sự kiện, bao gồm việc ghi lại các sự kiện trong môi trường theo thời gian thực.
Mục đích cuối cùng của việc ghi nhật ký sự kiện là phát hiện các mối đe dọa bảo mật.
Nhìn chung, sản phẩm SIEM có rất nhiều tính năng. Những người mà chúng tôi quan tâm nhất với tư cách là nhà phân tích SOC là những người thu thập và lọc dữ liệu cũng như đưa ra cảnh báo về các sự kiện đáng ngờ.
Example alert: Nếu ai đó trên hệ điều hành Windows cố gắng nhập sai 20 mật khẩu trong 10 giây thì đây là hoạt động đáng ngờ. Khó có khả năng ai đó quên mật khẩu sẽ cố gắng nhập lại mật khẩu đó nhiều lần trong một khoảng thời gian ngắn như vậy. Vì vậy, chúng tôi tạo quy tắc/bộ lọc SIEM để phát hiện hoạt động vượt quá ngưỡng đó. Dựa trên quy tắc SIEM này, một cảnh báo sẽ được tạo ra khi xảy ra tình huống như vậy.
Một số giải pháp SIEM phổ biến: IBM QRadar, ArcSight ESM, FortiSIEM, Splunk, v.v. Để có hình ảnh rõ hơn, bạn có thể truy cập trang "Monitoring" trên LetsDefend.
## 2. Relationship Between a SOC Analyst and SIEM
Mặc dù các giải pháp SIEM có nhiều tính năng nhưng các nhà phân tích SOC thường chỉ theo dõi các cảnh báo.
Có những nhóm/người khác chịu trách nhiệm phát triển cấu hình và mối tương quan quy tắc. Như đã đề cập ở trên, cảnh báo được tạo từ dữ liệu đi qua các bộ lọc.
Cảnh báo được phân tích đầu tiên bởi nhà phân tích SOC. Đây là nơi bắt đầu công việc của nhà phân tích SOC trong trung tâm điều hành an ninh.
Về bản chất, họ phải xác định xem cảnh báo được tạo ra là mối đe dọa thực sự hay cảnh báo sai.
Để hiểu rõ hơn, hãy quay lại trang "Monitoring"; như bạn có thể thấy bên dưới, có nhiều cảnh báo khác nhau trên giao diện SIEM. Nhà phân tích SOC nên phân tích chi tiết liên quan đến những cảnh báo này với sự trợ giúp của các sản phẩm SOC khác (chẳng hạn như EDR, Log Management, Threat Intelligence Feed, v.v.) và cuối cùng xác định xem chúng có phải là mối đe dọa thực sự hay không.
Bạn có thể xem các cảnh báo mới được tạo trong "Main Channel" và coi kênh này là kênh được chia sẻ. Đồng đội của bạn không hiển thị trong mô phỏng này, nhưng trong tình huống làm việc thực tế, đồng đội của bạn sẽ có thể nhìn thấy bảng điều khiển này. Sau khi bạn chọn cảnh báo muốn xử lý, hãy nhấp vào nút **Take Ownership** trong **Action area** để sở hữu cảnh báo và chuyển nó đến **Investigation Channel**. Bằng cách này, đồng đội của bạn có thể biết bạn đang tích cực thực hiện cảnh báo nào. Đồng thời, điều này sẽ giúp họ biết bạn đang xử lý những cảnh báo nào để họ có thể chọn các cảnh báo khác. Bằng cách này, nhóm của bạn có thể nhanh chóng xem xét tất cả các cảnh báo.
Khi bạn nhấp vào cảnh báo, bạn có thể xem chi tiết của cảnh báo. Điều này cho phép bạn thu thập thông tin (tên máy chủ, địa chỉ IP, thông tin băm tệp, v.v.) cần thiết để điều tra.
## 3. Quick Tip
Lưu ý rằng đôi khi, các cảnh báo sai có thể được tạo ra trong SIEM. Một nhà phân tích SOC giỏi sẽ có thể xác định những tình huống như vậy và cung cấp phản hồi cho nhóm, từ đó góp phần nâng cao hiệu quả của nhóm SOC.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/soc-fundamentals/siem-and-analyst-relationship.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.