Security Operations (SOC OPS) Lecture Review

Comprehensive vocabulary flashcards covering SOC operations, log management, threat hunting, and core cybersecurity principles based on lecture notes.

What regulations are forcing companies to have security operations?

Various, depending of the region but in EU: DORA, NIS2, GDPR - article 32, in USA NIST HIPPA.

2. Why would a SOC need an Intelligence service?

To be prepared for the uncoming attacks and stay ahead of emarging threats by implementing security controles beforethey occur. An intelligence service provides valuable information on potential vulnerabilities and threat actor behaviors, enabling proactive measures.

3. What is the purpose of SOAR

Security Orchestration, Automation and Response; a tool used for automating security tasks and orchestrating responses to incidents to improve efficiency and reduce response time

4. How to check whether NTFS file creation timestamp was manipulated?

Compare the attribites $File_name MFT table with $Standard_Information timestamps

5. How to detect an executable in Windows memory?

Using basing tool such as task manager, process explorer, volatility with pslist

6. What does the following mean?

Windows Event ID 4672 = Special privileges assigned to new logon a newly logged in account was given special privileges, listed at the end of the log

What are the main categories of metrics used in cyber security and SOC operations?

Main categories: Operational, Complience, Human factor

8. What key factors should be considered when planning the physical location of a SOC?

Client - what service he want, budget, location, laguage, regulation, workers availability.

9. What is the primary purpose of a SOC Playbook?

step by step procedures to follow during respoding to specific security incidents.

Log Normalization

Process of the unification the information.

11. What is log enrichment?

Added aditional contexctual date to exciding logs to give analityic more information

12. Name and explain at least two factors impacting log retention.

Size/cost, regulation

13. What are detection rule benefits?

The detect fact and responce for potencial threats and rapid indentification. Increase security posture, automated response.

14. What is a role of threat hunting?

Threat hunting is proactive search for hidden threats in an org sysytem network, insted of passive detection.

15. Threat Hunting methodologies.

Intelligence-Driven, Hypothesis-Driven, Analytics-Driven/Custom

Intelligence-Driven Hunting — opiera się na threat intelligence, czyli IOC, TTP, raportach o grupach APT i mapowaniu do MITRE ATT&CK. Celem jest sprawdzenie, czy znane techniki lub artefakty ataku występują w naszym środowisku.

Hypothesis-Driven Hunting — zaczyna się od hipotezy analityka, np. „atakujący używa PowerShella do lateral movement” albo „konto administratora zostało przejęte”. Następnie analityk buduje zapytania i sprawdza dane, aby potwierdzić lub odrzucić hipotezę.

Analytics-Driven / Custom Hunting — bazuje na analizie danych, baseline’ach, anomaliach i własnych regułach. Celem jest wykrycie nietypowych zachowań, które mogą wskazywać na atak, nawet jeśli nie istnieje znany IOC lub gotowa reguła detekcyjna.

16. What functions does SOAR platform fulfill?

Integrate security platforms and orchestrate the responses to an incident, Performs automatic actions, enriches the incident to operator

SOAR (Security Orchestration, Automation and Response) integruje różne narzędzia bezpieczeństwa, automatyzuje powtarzalne zadania związane z obsługą incydentów oraz koordynuje działania reakcyjne. Platforma może automatycznie wykonywać określone akcje (np. blokowanie adresów IP lub izolację hostów) oraz wzbogacać alerty o dodatkowe informacje, ułatwiając analitykom szybszą analizę i reakcję na zagrożenia.

17. What is the difference between automation and orchestration?

Automatization is a process of reducing task that require manaul input where orchistration is integration system for compresisi view.

18. What are the challenges in the organization without the automation altogether?

increase time and effor to respose for the incidents, allert fatique, risk of errors

19. What is a threat?

Threat is compose of malicous intent with opportunity and capability

20. What two components are important for an Indicator of Compromise?

Data aka logs
Context

21. List at least 3 different TTPs.

T1025 - wykorzystyanie ususwalnego nośniaka danych do kopiowania danych
T1410 - wykorzystynie publicznie widocznej aplikacji w celu uzyskania dostępu
T1566.001 – Spearphishing Attachment – dostarczenie złośliwego załącznika przez e-mail.

Reconnaissance, Resource Development, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access

22. What are infrastructure Identity best practices?

1. Understand the features and limitation

2. Tailor the scan policies to resourse, operation system

3. Autenticated or agent based scunning

4. tune the roles and polies

23. Based on what factors can vulnerabilities be prioritized?

1. How sevire is vur. CVE score

2. Where is asses lcoated internal network external

3. how crucial is asset

4. is it explotable (could be use to hard the org else wahere

24. What are examples of asset contextual information?

hwo critical it is, what the function he does, where is located, who is the owner, enviroment, last seen

25. What is the difference between code and no-code approach?

code more flexibility harder to use

no code easer but less flexibule

26. What is a pipeline (in programming context)?

A sequence of processing steps where the output of one step is passed as the input to the next.

27. What can help to create a code quality baseline?

Create standart for new code, than track excising code quality

Co musimy poznać zanim zaczniemy sugerować kontrole bezpieczeństwa i zarządzać ryzykiem wokół usługi lub firmy?

Kontekts

29. W czym pomaga zarządzanie ryzykiem?

i. W podejmowaniu decyzji

30. Po co ustala się kontrole bezpieczeństwa?

By zmiejszyć ryzyko

31. Co to jest ISMS (System Zarządzania Bezpieczeństwem Informacji)?

Zestaw zasad i procedur służących do systematycznego zarządzania danymi organizacji (systematycznego zarządzania ryzykiem utraty kontroli nad danymi w organizacji)

32. What are examples of metrics commonly used in vulnerability management?

Executive Metrics

• Risk Score – ogólny poziom ryzyka organizacji.

• New vs. Closed Vulnerabilities – trend pojawiania się i usuwania podatności.

Operational Metrics

• Reassigned Tickets – liczba zgłoszeń przekazywanych między zespołami.

• Time to Remediate (MTTR) – średni czas usunięcia podatności.

Contextual Metrics

• Risk Score per Critical Asset – ryzyko dla najważniejszych zasobów.

• Vulnerabilities by Business Impact – podatności według wpływu na biznes.

Program Metrics

• Scanner Coverage – procent zasobów objętych skanowaniem.

• Scan Frequency – częstotliwość wykonywania skanów.

• Unscanned Assets – liczba zasobów nieobjętych skanowaniem.

Technical Metrics

• Number of Critical/High Vulnerabilities – liczba podatności wysokiego ryzyka.

• Time Between Failure / MTTR – czas potrzebny na usunięcie problemu.

• New vs. Closed Vulnerabilities – liczba nowych i zamkniętych podatności z perspektywy technicznej.

33. What are typical report types?

• Out-of-the-Box Reports – standard reports generated automatically by the vulnerability management tool.

• Executive Reports – high-level summaries focused on risk, trends, and business impact for management.

• High-Level Reports – overview of the organization's vulnerability posture without technical details.

• Detailed Reports – comprehensive technical information about identified vulnerabilities and affected assets.

• Remediation Reports – reports focused on vulnerabilities requiring action and tracking remediation progress

34. What are the most common vulnerability treatment options?

Most common vulnerability treatment options:

• Patch Management – usuwanie podatności poprzez instalację aktualizacji i poprawek.

• Configuration Management – zmiana konfiguracji systemów w celu ograniczenia ryzyka.

• Change Management – kontrolowane wdrażanie zmian związanych z usuwaniem podatności.

• Application Management – aktualizacja, modyfikacja lub wycofanie podatnej aplikacji.

• Cloud Management – poprawa konfiguracji i zabezpieczeń zasobów chmurowych.

• Alternative Treatment Options – inne metody, np. akceptacja ryzyka, zastosowanie środków kompensacyjnych (mitigation) lub wyłączenie podatnego systemu z eksploatacji.

What is the name for a controlled environment where potentially malicious files or URLs can be executed and analyzed with minimal risk to the host system?

Sandbox

36. What is Single Pane of Glass?

i. Monitoring everything, gathering data from everything, collecting data to analyze it

37. How to manage alert fatigue?

i. Automate, use whitelisting

38. Which method allows to verify that the content of the email message was not maliciously altered?

DomainKeys Identified Mail (DKIM) – metoda wykorzystująca podpis cyfrowy do weryfikacji integralności wiadomości e-mail, dzięki czemu odbiorca może sprawdzić, czy treść wiadomości nie została zmodyfikowana podczas przesyłania.

39. Which method allows to verify that the „From” body header of an email matches its sender? i. Domain Keys Identified Mail

DMARC – pozwala zweryfikować, czy domena w nagłówku "From" jest zgodna z domeną uwierzytelnioną przez SPF lub DKIM (tzw. alignment), dzięki czemu pomaga wykrywać spoofing nadawcy.

What are the three pillars of Zero Trust?

i. Verify Explicitly, Least Privilege, Assume Breach