SOC Operations: সিকিউরিটি অপারেশন সেন্টারের দৈনন্দিন কার্যক্রম এবং থ্রেট মনিটরিং ফ্রেমওয়ার্ক!

একটি SOC সাধারণত হায়ারার্কিক্যাল কাঠামোতে গঠিত, যেখানে দায়িত্ব এবং দক্ষতার ভিত্তিতে বিভিন্ন স্তরের বিশ্লেষক কাজ করেন। Tier 1 Analyst-রা হলেন প্রথম সারির প্রতিরক্ষা — তাঁরা SIEM dashboard-এ আসা প্রতিটি alert প্রাথমিকভাবে যাচাই করেন, false positive ফিল্টার করেন এবং প্রকৃত হুমকি চিহ্নিত হলে সেটিকে উচ্চতর স্তরে পাঠান। তাঁদের কাজ মূলত triage এবং initial investigation।

Tier 2 Analyst-রা গভীর তদন্ত পরিচালনা করেন। তাঁরা log correlation, packet analysis, malware behavior study-র মতো জটিল কাজ করেন এবং incident-এর scope নির্ধারণ করেন। Tier 3 Analyst বা Senior Threat Hunter-রা advanced persistent threat খোঁজেন, custom detection rule তৈরি করেন এবং forensic investigation চালান। SOC Manager পুরো team coordinate করেন, KPI track করেন এবং executive leadership-এর সাথে যোগাযোগ রাখেন। এছাড়া Threat Intelligence Analyst, Incident Responder এবং SOC Engineer-এর মতো বিশেষায়িত ভূমিকা থাকে যাঁরা specific domain-এ অবদান রাখেন।

প্রতিষ্ঠানের আকার, বাজেট এবং risk profile অনুযায়ী SOC-এর বিভিন্ন মডেল প্রচলিত আছে। In-house SOC মডেলে প্রতিষ্ঠান নিজেদের কর্মী এবং অবকাঠামো ব্যবহার করে সম্পূর্ণ নিয়ন্ত্রণ বজায় রাখে। এটি ব্যয়বহুল হলেও সংবেদনশীল ডেটা এবং কাস্টমাইজেশনের ক্ষেত্রে সবচেয়ে ভালো। Managed SOC বা MSSP মডেলে third-party vendor-এর কাছে operations outsource করা হয়, যা ছোট-মাঝারি প্রতিষ্ঠানের জন্য সাশ্রয়ী।

Hybrid SOC মডেলে কিছু কাজ in-house এবং কিছু কাজ MSSP-র মাধ্যমে পরিচালিত হয় — যেমন 24/7 monitoring outsource করে এবং incident response in-house রাখা। Co-managed SOC মডেলে in-house team এবং external partner সমান অংশীদারিত্বে কাজ করেন। Virtual SOC বা vSOC-এ কোনো physical center না থাকলেও cloud-based platform এবং distributed team-এর মাধ্যমে operations চলে। প্রতিটি মডেলের নিজস্ব সুবিধা ও চ্যালেঞ্জ রয়েছে এবং সঠিক মডেল নির্বাচন প্রতিষ্ঠানের maturity-র উপর নির্ভর করে।

SOC-এর প্রযুক্তিগত মেরুদণ্ড হলো SIEM (Security Information and Event Management) প্ল্যাটফর্ম। Splunk Enterprise Security, IBM QRadar, Microsoft Sentinel, Elastic Security — এগুলো জনপ্রিয় SIEM সমাধান যেখানে বিভিন্ন উৎস থেকে log সংগ্রহ করে correlation rule প্রয়োগ করা হয় এবং meaningful alert তৈরি হয়। EDR (Endpoint Detection and Response) সমাধান যেমন CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint endpoint-level visibility প্রদান করে।

NDR (Network Detection and Response) tool যেমন Darktrace, ExtraHop নেটওয়ার্ক traffic-এর anomaly detect করে। SOAR প্ল্যাটফর্ম response automate করে। Threat Intelligence Platform (MISP, ThreatConnect) external threat feed-এর সাথে internal data correlate করে। Ticketing system (ServiceNow, Jira) incident track করার জন্য ব্যবহৃত হয়। UEBA (User and Entity Behavior Analytics) ব্যবহারকারীর আচরণে অস্বাভাবিকতা চিহ্নিত করে এবং Vulnerability Management tool (Tenable, Qualys) asset-এর দুর্বলতা track করে। এই সমস্ত technology একসাথে কাজ করে একটি comprehensive defense ecosystem তৈরি করে।

একটি SOC সাধারণত 24/7/365 operate করে, তাই shift-based কাঠামোতে কাজ চলে। প্রতিটি shift সাধারণত ৮ থেকে ১২ ঘণ্টার হয় এবং তিন-শিফট মডেল (morning, evening, night) প্রচলিত। Shift handover-এর সময় outgoing analyst-রা incoming team-কে ongoing incident, pending investigation এবং unusual observation সম্পর্কে briefing দেন।

প্রতিটি shift-এ analyst-রা একটি নির্দিষ্ট workflow অনুসরণ করেন। দিনের শুরুতে dashboard review, overnight alert volume চেক, এবং threat intelligence digest পড়ে নেওয়া হয়। এরপর alert queue থেকে priority অনুযায়ী investigation শুরু হয়। প্রতিটি incident-এর জন্য নির্দিষ্ট SLA (Service Level Agreement) থাকে — যেমন critical alert ১৫ মিনিটের মধ্যে acknowledge করতে হবে। Weekly threat briefing, monthly metric review এবং quarterly tabletop exercise SOC-এর continuous improvement প্রক্রিয়ার অংশ।

কার্যকর threat detection-এর জন্য SOC বিভিন্ন framework এবং methodology অনুসরণ করে। MITRE ATT&CK framework হলো সবচেয়ে জনপ্রিয়, যেখানে adversary tactics, techniques এবং procedures (TTPs) সুসংগঠিতভাবে catalog করা থাকে। প্রতিটি detection rule কে নির্দিষ্ট MITRE technique-এর সাথে map করা হলে coverage gap সহজে চিহ্নিত করা যায়।

Cyber Kill Chain model (Lockheed Martin) আক্রমণের সাতটি ধাপ — reconnaissance থেকে actions on objectives পর্যন্ত — বিশ্লেষণে সাহায্য করে। Diamond Model of Intrusion Analysis adversary, capability, infrastructure এবং victim-এর মধ্যে সম্পর্ক বুঝতে সাহায্য করে। NIST Cybersecurity Framework (Identify, Protect, Detect, Respond, Recover) overall security posture-এর benchmark হিসেবে কাজ করে। এই framework-গুলোর সমন্বিত প্রয়োগ SOC-কে structured এবং repeatable detection capability প্রদান করে।

যখন কোনো হুমকি নিশ্চিত হয়, SOC NIST-defined incident response lifecycle অনুসরণ করে। Preparation phase-এ playbook, runbook এবং communication plan প্রস্তুত থাকে। Detection and Analysis phase-এ alert validate করা হয় এবং impact assessment হয়। Containment phase-এ আক্রান্ত system isolate করা হয় যাতে damage বিস্তার না পায়।

Eradication phase-এ root cause খুঁজে বের করে malicious component remove করা হয়। Recovery phase-এ affected system পুনরুদ্ধার করা হয় এবং normal operation reestablish করা হয়। Lessons Learned phase সবচেয়ে গুরুত্বপূর্ণ হলেও প্রায়ই উপেক্ষিত — এখানে post-incident review করে detection এবং response process উন্নত করা হয়। প্রতিটি incident-এর জন্য detailed documentation, timeline reconstruction এবং evidence preservation অপরিহার্য।

SOC-এর effectiveness পরিমাপ করতে বিভিন্ন KPI track করা হয়। Mean Time to Detect (MTTD), Mean Time to Respond (MTTR), Mean Time to Contain (MTTC) — এগুলো core operational metric। Alert volume, false positive rate, alert closure rate analyst productivity measure করে। Coverage metric যেমন MITRE ATT&CK technique coverage percentage detection maturity নির্দেশ করে।

Dwell time (attacker detected হওয়ার আগে কত সময় network-এ ছিল) এবং breach prevented ratio strategic indicator হিসেবে কাজ করে। Analyst burnout এবং turnover rate-ও important metric, কারণ এগুলো long-term SOC sustainability প্রভাবিত করে। Tier 1 থেকে Tier 2/3-এ escalation rate বিশ্লেষণ করে workflow efficiency বোঝা যায়। এই metric-গুলো নিয়মিত executive leadership-এর কাছে report করা হয় investment justify করার জন্য।

SOC-এর সবচেয়ে বড় চ্যালেঞ্জগুলোর মধ্যে রয়েছে alert fatigue, যেখানে দৈনিক হাজার হাজার alert-এর মধ্যে প্রকৃত threat হারিয়ে যায়। Tuning এবং noise reduction-এর মাধ্যমে এটি কমানো যায়। Skilled analyst-এর অভাব একটি global problem; নিয়মিত training, certification এবং rotation program-এর মাধ্যমে এটি মোকাবিলা করা যায়।

Tool sprawl আরেকটি সমস্যা — অনেক tool থাকলেও integration না থাকলে দক্ষতা কমে। SOAR এবং XDR platform এই সমস্যা সমাধানে সাহায্য করছে। Continuous improvement culture, blameless post-mortem, এবং knowledge sharing session SOC maturity বাড়ায়। Purple team exercise-এর মাধ্যমে red team এবং SOC-এর collaboration detection capability উন্নত করে। Threat hunting program-এ proactive search চালানো হয় known signature ছাড়াই — যা advanced threat detect করতে সাহায্য করে।