學習
SOC監控流程與資安相關知識
進入公司以前,只有在學校課堂上學習到的一些資安相關的基礎概論概念,對於一間資安公司如何為客戶服務以及監控是完全沒有概念的。
一開始進公司主要及大部分的工作是產製報告,起初只是做copy paste的動作,但在過程中,不免會好奇報告裡面的數據及設備的來源依據是什麼,有些設備的功用在學校課堂中有學習到,但實際如何安裝及設定是不清楚的,不了解的部分我先透過上網學習再詢問同仁細節操作,網路上能獲得的資訊比較片面、不完整,透過同仁講解能更深入理解及如何安裝設備等等的知識。除了防護設備,再來就是事件的發生,產製報告過程中也能發現有各個類型的資安事件發生,而我們有自己的監控平台,上面會列出事件的詳細資訊,從中可以理解到事件類型、解決方法、技術同仁如何與客戶做溝通處理等等。部門也有提供一些SOP學習,先與同仁學習相關知識或技術,再有不懂或不熟悉的可以透過SOP輔助。
API程式
公司有引進IBM EDR這個工具,雖然有平台可以檢視監控內容以及端點資訊或警告資訊等等,也有能夠匯出資料的功能,由於功能不是很齊全,像是匯出的資料不能選取所需的欄位內容或是資料,而平台有提供API讓我們去使用,因此去學習API是如何串接的,除了利用上班時間研究,下班在家也在實作學習,最後用Python串接成功,並將獲取到的資料匯出成Excel方便檢視。
非技術面向
與人溝通這方面,我的個性比較不害羞且遇到問題或不懂的地方我會直接說出來,與其自己低頭苦思或假裝了解,不如讓同仁指點迷津,才不會讓後續的作業出現問題;另外,因為文書處理的工作很多,需要有極大的耐心與細心,細心是我比較缺乏的,有時候產製的報告可能會出現一些小錯誤或是缺漏,因此我現在會在記事本記錄上次疏漏的地方,在下次做報告的時候就能提醒自己該注意的事項,除此之外電腦都會隨時開著記事本,當有同仁或主管來交辦事項的時候我會馬上打字記錄就怕自己有漏聽的,而由於每個月需要做很多家客戶的監控報告,我會整理一個check list幫助我查看哪些客戶還沒做,也方便安排時間去做,另外分享給一起做客戶監控報告的同仁這份list,我們才能互相監督提醒。