SOC アナリスト採用のためのベストサイバーセキュリティテスト
ほとんどのSOCアナリストテストが失敗する理由
SOC(セキュリティオペレーションセンター)アナリストは、SIEMアラートを読み、脅威を優先順位付けし、インシデントに対応することで彼らの日を過ごします。彼らはエクスプロイトを書いたり、ネットワークを設計しているわけではありません。しかし、ほとんどのサイバーセキュリティ評価は、ペンテスト知識をテストします-脆弱性の発見、ネットワークプロトコル、エクスプロイトチェーン。
強力なSOCアナリストがネットワークセキュリティテストに失敗することができます。優れた侵入テストは、SOCアナリストとして苦労することができます。スキルセットが重複しますが、職務は重複しません。
良いアナリストを雇うには、トリアージ推論、インシデント分析、アラートの疲労管理、および時間圧力の下での意思決定を測定する評価が必要です。
SOCアナリストが実際に何をするか
- トリアージ:500日のアラートを見てください。5つは注意に値していますか?
- 調査:システム全体のログを追跡します。何が起こりましたか?どうやって彼らは入りましたか?
- エスカレーション:これはインシデントか偽陽性ですか?それは封じ込めが重要ですか、またはデバッグ後のですか?
- 通信:セキュリティを話さないエンジニアに調査結果を説明します。ノイズに対抗します。
これらを測定しない評価は、間違ったものを測定しています。
強力なSOC評価の解剖学
パート1:アラートトリアージ(20分)
シナリオ: SIEMダッシュボードは47個のアラートを示しています。次のシフトへのハンドオフまで30分があります。優先順位で上位5位をランク付けし、なぜあなたはそれぞれを調査するのかを説明してください:
- SQLインジェクションの試み(WAFによってブロック)
/api/loginで - 2時間で5つの国から[email protected]へのログイン失敗
- データベースサーバーから未知のIPへの予期しないアウトバウンドSSH
- 内部ネットワークからサービスアカウント
app-runnerへの50のログイン失敗 - 機密ファイル(
/etc/passwd)が外部フォルダにコピーされました - 開発者ワークステーションからのDNSクエリで異常なスパイク
- ITによって5分前に再度有効にされたユーザーアカウント(ルーチン有効化)
- Webサーバー上の証明書有効期限警告(30日で期限切れ)
測定内容:
- ノイズから信号を区別できますか?
- 明確にする質問をしますか(コンテキストが重要ですか)?
- 明らかにブロックされた攻撃を無視するか、偽陽性を過度にエスカレートしますか?
- 重大度スコアではなく、事業への影響によって優先順位付けしますか?
良い回答の例: 「ランク1:#3(データベースから未知のIPへのアウトバウンドSSH)。これはデータベースが侵害された場合は封じ込めの緊急事態です。ランク2:#2(複数の国、同じアカウント)。資格情報詰め込みリスク、ただしMFAが有効な場合はあまり緊急ではありません-確認します。ランク3:#5(passwdコピー)。それが機密データの場合にのみ緊急です。ランク4:#1(SQLインジェクションブロック)。アラート疲労 - WAFはその仕事をしました。スキップ#4、#6、#7、#8次の30分で。」
パート2:インシデント分析(40分)
シナリオ: 開発者は彼らのラップトップが遅く実行されていることを報告しています。あなたのフォレンジクスチームがキャプチャします:
- 2時間前にSlackに200MBの圧縮データがアップロードされました
- Chromeブラウザの履歴は
git clone会社の一覧を示しています - SSHキーが
.sshフォルダで見つかり、最近の変更日付(アップロードと同じタイミング) - アンチウイルス警告なし
これはセキュリティインシデントですか?あなたの理論は何ですか?次の時間で何をしますか?
測定内容:
- タイムラインとナレーティブを組み立てることができますか?
- 「ユーザーアップロードされたデータ」と「攻撃者流出秘密」を区別できますか?
- 過度反応なしにコンテナメントを推奨できますか(疑いでラップトップを核にしないでください)?
- 偽陽性について考えていますか(おそらく彼らは意図的にコードをアップロードしましたか)?
良い回答の例: 「これは資格情報侵害またはインサイダーリスクの可能性がありますが、まず意図的な行動を除外する必要があります。私は:1)開発者と話します-彼らは意図的にmonorepoをクローンして共有しましたか?2)いいえ:200MBアーカイブに含まれていたものと、Slackチャネルへのアクセス権を持っているもの。3)SSHキーが侵害されていると仮定します-すぐに回転させ、過去24時間で不正な押し込みまたはログインをチェックします。4)不正な提出がある場合、これは封じ込めが重要です。ない場合、それは調査中です。ラップトップを隔離しないでください。」
パート3:アラート疲労シナリオ(20分)
セキュリティチームはアラートに沈んでいます。実際の信号はノイズの下に埋もれています。SIEMをチューニングしてアラートボリュームを削減することを提案しています。どのアラートを抑制しますか?
- アラート:「ログイン試行失敗」(1000倍/日)
- アラート:「管理者アカウントによるパスワード変更」(50倍/日、すべて正当)
- アラート:「クラウドストレージへの大量のデータ転送」(200倍/日、ほぼすべてGoogle Drive for Work)
- アラート:「有効な署名がない起動プロセス」(10倍/日、90%は開発ツール)
測定内容:
- シグナルを失わずにノイズを減らせますか?
- 無視とチューニングの違いを理解していますか?
- ビジネスコンテキストを求めますか?
良い回答の例: 「#1と#2を抑制またはチューニングします-それらは実行可能ではありません。#1の場合、代わりに新しいIP +同じユーザーからのログイン試行失敗でアラートします。#2の場合、パスワード変更時にアラートしないでください。#3については、正当なクラウドツール(Google Drive、Dropbox、Slack)のホワイトリストを追加します。#4については、ハッシュによって開発ツールのホワイトリストを追加します。目標:1日に実際に調査が必要な2-3アラートをサーフェスする。」
評価のスコアリング
| コンポーネント | スコア内容 |
|---|---|
| トリアージ | 優先順位付け、推論、速度の精度 |
| 調査 | タイムラインビルディング、仮説形成、トンネルビジョンの回避 |
| 意思決定 | 比例応答(封じ込め対調査対無視) |
| 通信 | 非技術用語で説明できますか? |
インタビューのフォローアップ
30分の技術スクリーンで評価をペアリングします:
- 「最近のSOCインシデントを私を通してください。エスカレーションを何にしましたか?何があなたを驚かせましたか?」
- 「マルウェアについてアラートを取得します。署名は6ヶ月前です。あなたはどのように調査しますか?」
- 「あなたのチームは50%偽陽性アラートです。チューニングを提案する1時間があります。あなたのアプローチは何ですか?」
フォローアップは、彼らが前にこれをしたかどうか、そして彼らがアラート疲労についてプラグマティックに考えているかどうかを明らかにしています。
これが重要な理由
SOCアナリストバーンアウトは本物です。アナリストがアラートに沈んでいて実際のインシデントを見ていないため、アナリストは辞めます。効果的にトリアージできる人を雇うことは、チーム全体の速度を改善する採用です。
良い評価は、ノイズに入って信号を見つけることを学んだ候補者を表面化させます。これらの候補者は珍しい。評価は彼らを見つけるべきです。
次のステップ
SOC評価を構築するときは、以下に焦点を当てます:
- トリアージ(30%)
- インシデント分析(50%)
- アラートチューニング(20%)
ライブインタビューをペアリングして、時間圧力の下で判断を確認します。最高の雇用は、彼らの推論をリアルタイムで説明できるものです。
ClarityHire評価は、SOC固有のシナリオ、ファイルアップロード(ログ分析用)、およびテキストベースの応答(オープンエンドのインシデント書き込み用)をサポートしています。あなたのチームが実際に必要とするSOC評価を構築します。