# SOC Types and Roles

## 1. What is a SOC?

A Security Operation Center (SOC) là cơ sở nơi nhóm bảo mật thông tin liên tục giám sát và phân tích tính bảo mật của một tổ chức.&#x20;

Mục đích chính của nhóm SOC là phát hiện, phân tích và ứng phó với các sự cố an ninh mạng bằng cách sử dụng công nghệ, con người và quy trình.

## 2. Types of SOC Models

Tùy thuộc vào nhu cầu bảo mật và ngân sách của bạn, có một số loại SOC:

<figure><img src="/files/SyFlr4yhggxHbSTPIpIm" alt=""><figcaption></figcaption></figure>

**In-house SOC**: Nhóm này được thành lập khi một tổ chức xây dựng nhóm an ninh mạng của mình. Các tổ chức đang xem xét SOC nội bộ nên có ngân sách để hỗ trợ tính liên tục của nó.

**Virtual SOC**: Loại nhóm SOC này không có cơ sở cố định và thường làm việc từ xa ở nhiều địa điểm khác nhau.

**Co-Managed SOC**: bao gồm nhân viên SOC nội bộ làm việc với Managed Security Service Provider (MSSP) bên ngoài. Sự phối hợp là chìa khóa trong loại mô hình này.

**Command SOC**: Nhóm SOC này giám sát các SOC nhỏ hơn trên một khu vực rộng lớn. Các tổ chức sử dụng mô hình này bao gồm các nhà cung cấp dịch vụ viễn thông lớn và các cơ quan quốc phòng.

## 3. People, Process, and Technology

Xây dựng một SOC thành công đòi hỏi sự phối hợp nghiêm túc. Quan trọng nhất, cần có mối quan hệ chặt chẽ giữa con người, quy trình và công nghệ.

**People:** Một nhóm SOC mạnh đòi hỏi nhân viên được **đào tạo chuyên sâu**, **quen thuộc** với các cảnh báo bảo mật và các tình huống tấn công. Vì các kiểu tấn công liên tục thay đổi nên bạn cần những thành viên trong nhóm có thể **dễ dàng thích ứng** với các kiểu tấn công mới và **sẵn sàng tiến hành nghiên cứu**.

**Processes:** Để phát triển hơn nữa cấu trúc SOC của mình, bạn cần điều chỉnh nó cho phù hợp với nhiều loại yêu cầu bảo mật khác nhau, chẳng hạn như *NIST*, *PCI* và *HIPAA*. Tất cả các quy trình đều yêu cầu tiêu chuẩn hóa cao độ các hành động để đảm bảo không có gì bị bỏ sót.

**Technology:** Nhóm cần có các sản phẩm khác nhau cho nhiều nhiệm vụ, chẳng hạn như kiểm tra thâm nhập, phát hiện, ngăn chặn và phân tích, đồng thời họ cần theo dõi chặt chẽ thị trường và công nghệ để tìm ra giải pháp tốt nhất cho tổ chức. Đôi khi sản phẩm tốt nhất trên thị trường có thể không phải là sản phẩm tốt nhất cho nhóm của bạn. Hãy nhớ xem xét các yếu tố khác như ngân sách của tổ chức.

## 4. SOC Roles

### SOC Analyst

Vai trò này có thể được phân loại thành Cấp 1, 2 và 3 theo cấu trúc SOC. Nhà phân tích bảo mật phân loại cảnh báo, tìm nguyên nhân và tư vấn cách khắc phục.

### Incident Responder

Cán bộ ứng phó sự cố là cá nhân chịu trách nhiệm **phát hiện mối đe dọa**. Vai trò này thực hiện đánh giá ban đầu về các vi phạm an ninh.

### Threat Hunter

Thợ săn mối đe dọa là một chuyên gia an ninh mạng, người chủ động tìm kiếm và điều tra các mối đe dọa và lỗ hổng tiềm ẩn trong mạng hoặc hệ thống của tổ chức.&#x20;

Họ sử dụng kết hợp các kỹ thuật thủ công và tự động để phát hiện, cô lập và giảm thiểu các mối đe dọa liên tục nâng cao (APT) cũng như các cuộc tấn công tinh vi khác có thể trốn tránh các biện pháp bảo mật truyền thống.&#x20;

Những người săn lùng mối đe dọa thường có hiểu biết sâu sắc về cơ sở hạ tầng CNTT và tình hình bảo mật của tổ chức, cũng như kiến ​​thức về các mối đe dọa và chiến thuật tấn công mới nổi. Họ nhằm mục đích tìm kiếm và loại bỏ các mối đe dọa trước khi chúng có thể gây thiệt hại hoặc làm gián đoạn hoạt động kinh doanh.

### Security Engineer

Các kỹ sư bảo mật chịu trách nhiệm duy trì cơ sở hạ tầng bảo mật của các giải pháp Quản lý sự kiện và thông tin bảo mật (SIEM) cũng như các sản phẩm của trung tâm điều hành bảo mật (SOC).&#x20;

Ví dụ: một kỹ sư bảo mật xây dựng kết nối giữa các sản phẩm SIEM và Điều phối bảo mật, tự động hóa và phản hồi (SOAR).

### SOC Manager

Người quản lý SOC đảm nhận các trách nhiệm quản lý như lập ngân sách, lập chiến lược, quản lý nhân viên và điều phối các hoạt động. Họ giải quyết các vấn đề vận hành hơn là kỹ thuật.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/soc-fundamentals/soc-types-and-roles.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.