เส้นทางเริ่มต้นสำหรับ SOC Analyst
กลุ่มเป้าหมาย: Tier 1 Analyst, Tier 2 Analyst, Junior Responder
วัตถุประสงค์: ใช้คู่มือนี้เพื่อเข้าใจว่าต้องเริ่มต้นอย่างไรเมื่อมี live alert และทำงานภายใต้กระบวนการของ SOC อย่างปลอดภัย
graph TD
A["อ่าน IR Framework"] --> B["ใช้ Runbook"]
B --> C["เก็บ Evidence"]
C --> D["Escalate เมื่อจำเป็น"]
D --> E["บันทึกข้อมูลเคส"]
1. จุดเริ่มต้น
2. เอกสารที่ควรอ่านก่อน
3. สิ่งที่ห้ามข้าม
4. ผลลัพธ์ขั้นต่ำต่อหนึ่งเคส
5. จุดโฟกัสเพื่อพัฒนาในแต่ละวัน
6. วงประชุมที่คุณควรเข้าร่วม
| วงประชุม |
ความถี่ |
เหตุผลที่ควรเข้าร่วม |
สิ่งที่คุณควรนำเข้าไป |
| Shift Handoff |
ทุกกะ |
ส่งต่อบริบทของเคสที่ยังเปิดและความเสี่ยงใน queue ให้สะอาด |
open cases, blockers, pending actions, และ owner changes |
| Weekly Detection Review |
รายสัปดาห์ |
สะท้อนว่า false positives, missed signals, หรือ use case ที่ noisy กำลังกระทบ triage อย่างไร |
ตัวอย่าง alert ที่ noisy, context ที่พลาด, และ pain points ของ analyst |
| Weekly Telemetry Review |
รายสัปดาห์เมื่อจำเป็น |
แจ้ง data gaps ที่บล็อกการสืบสวนหรือทำให้ความมั่นใจในการตัดสินใจต่ำ |
logs ที่ขาด, fields ที่เสีย, timestamp issues, และ use case ที่ได้รับผลกระทบ |
| Training / Readiness Review |
รายสัปดาห์ช่วง onboarding |
ยืนยันความพร้อมสำหรับการทำงานแบบอิสระมากขึ้น |
ticket samples, คุณภาพการ escalate, และความคืบหน้าตาม checklist |
7. Metrics และสัญญาณที่คุณควรดู
| Metric หรือสัญญาณ |
ทำไมจึงสำคัญ |
ต้อง escalate เมื่อ |
| Alert response time (MTTA) |
บอกว่าคุณยังตาม workload ทันหรือไม่ |
priority alerts รอเกิน threshold ของทีม |
| case aging / tickets ที่ค้าง |
บอกว่างานกำลังติดค้างโดยไม่มีความคืบหน้าหรือไม่ |
เคสไม่มี meaningful update จนถึง handoff ถัดไป |
| false positive ซ้ำรูปแบบเดิม |
บอกว่า benign pattern เดิมกำลังเปลืองเวลา analyst หรือไม่ |
pattern เดิมกลับมาเรื่อย ๆ โดยยังไม่มี tuning follow-up |
| missing evidence หรือ telemetry |
บอกว่าคุณกำลังตัดสินใจบน visibility ที่อ่อนหรือไม่ |
ยืนยันหรือปฏิเสธเคสไม่ได้เพราะข้อมูลที่ต้องใช้ไม่มี |
| ความลังเลในการ escalate |
บอกว่าความไม่แน่ใจกำลังค้างอยู่ใน queue นานเกินไปหรือไม่ |
ยังไม่มั่นใจหลังเกินเวลาที่ runbook หรือ playbook กำหนด |
8. การตัดสินใจที่คุณเป็นเจ้าของโดยตรง
9. เส้นทางการส่งต่อจาก Analyst ไป Tier 2
| Trigger ที่ต้องส่งต่อ |
สิ่งที่ Tier 1 ต้องทำให้เสร็จก่อน |
สิ่งที่ Tier 2 ต้องได้รับ |
| เกินเวลาที่ runbook กำหนด |
บันทึกสิ่งที่ตรวจแล้วและสิ่งที่ยังไม่ชัด |
alert summary, evidence ที่ดูแล้ว, และคำถามที่ยังค้าง |
| playbook ระบุว่าต้อง escalate |
ยืนยัน severity, บริบทของ asset/user, และ decision point ที่ชน |
playbook reference, trigger condition, และ risk statement ปัจจุบัน |
| เกี่ยวข้องกับ priority asset หรือ privileged user |
ยืนยัน business context และ owner ถ้าทราบ |
ความสำคัญของ asset/user, ข้อกังวลด้าน impact, และสถานะ containment ปัจจุบัน |
| ขาด telemetry จนตัดสินใจไม่ได้ |
บันทึกให้ชัดว่าขาด data source หรือ field ใด |
คำอธิบาย gap, use case ที่ได้รับผลกระทบ, และข้อจำกัดด้านความเชื่อมั่น |
10. ชุดข้อมูลขั้นต่ำที่ Analyst ต้องส่งต่อ
References