SOC + NOC Combined Shift Handover

Outgoing Analyst/Engineer: [Tên người bàn giao] Incoming Analyst/Engineer: [Tên người tiếp nhận] Shift Period: YYYY-MM-DD HH:MM UTC → YYYY-MM-DD HH:MM UTC Scope: Security Monitoring (SOC) + Infrastructure Operations (NOC) Platform / Region: [Production / Region / Environment]

---

1. Tổng Quan Ca Trực (Shift Summary Dashboard)

1.1 Chỉ Số Tổng Hợp

Chỉ Số	SOC	NOC	Ghi Chú
Tổng alerts nhận	N	N
Incidents/Investigations mở	N	N
Đã resolve trong ca	N	N
Escalations thực hiện	N	N
SLA breach	N	N	Ghi rõ nếu có

1.2 Đánh Giá Nhanh (Quick Status)

Domain	Trạng Thái	Ưu Tiên Chú Ý
Security Posture	[CLEAR / ELEVATED / ACTIVE THREAT]	[Mô tả nếu không CLEAR]
Infrastructure Health	[GREEN / YELLOW / RED]	[Mô tả nếu không GREEN]
Maintenance Windows	[None / In Progress / Upcoming]	[Chi tiết nếu có]

---

2. [SOC] Trạng Thái Bảo Mật (Security Status)

2.1 Công Cụ Giám Sát Bảo Mật

Công Cụ	Trạng Thái	Ghi Chú
SIEM	[Operational / Degraded / Down]
EDR Platform	[Operational / Degraded / Down]
WAF / IDS / IPS	[Operational / Degraded / Down]
SOAR / Ticketing	[Operational / Degraded / Down]

2.2 Active Security Investigations

Liệt kê theo thứ tự ưu tiên. Để trống nếu không có investigation nào đang mở.

Investigation #[ID] — [Tên ngắn]

• Ticket / Case: [SIEM-XXXX / Link]
• Severity: [Critical / High / Medium / Low]
• Phát hiện: YYYY-MM-DD HH:MM UTC
• Tóm tắt:
• IoCs: IP x.x.x.x / Hash SHA256:... / Domain ...
• Hành động đã thực hiện:
  1. [Bước đã làm]
• Next steps:
  1. [Action cần làm tiếp]
• Escalation: [Not escalated / Escalated to: Tên lúc HH:MM UTC]

2.3 Security Alerts Đã Xử Lý Trong Ca

Alert ID	Rule	Thời điểm	Verdict	Hành động
SIEM-XXXX	[Rule name]	HH:MM	TP / FP / Benign	[Tóm tắt]

2.4 Threat Intelligence Update

• Nguồn: [CISA / FS-ISAC / Vendor advisory]
• Highlights:
• Hành động phòng ngừa đã thực hiện:

2.5 Security Config Changes (Rule Tuning / Policy Updates)

Thay đổi	Lý do	Ticket
[Mô tả]	[Lý do]	[Link]

---

3. [NOC] Trạng Thái Hạ Tầng (Infrastructure Status)

3.1 Service Health Overview

Service / Component	Status	Uptime (ca)	Ghi Chú
[Service 1]	[UP / DEGRADED / DOWN]	XX.XX%
[Service 2]	[UP / DEGRADED / DOWN]	XX.XX%
Load Balancer / CDN	[UP / DEGRADED / DOWN]	XX.XX%
Database Cluster	[UP / DEGRADED / DOWN]	XX.XX%
Message Queue	[UP / DEGRADED / DOWN]	XX.XX%

3.2 Network & Capacity Health

Chỉ Số	Giá Trị	Ngưỡng	Trạng Thái
Bandwidth sử dụng	X Gbps / XX%	>80%	[OK / WARN]
Packet loss	X%	>0.1%	[OK / WARN]
CPU Cluster (avg)	XX%	>85%	[OK / WARN]
Memory (avg)	XX%	>90%	[OK / WARN]
Connection Pool (DB)	XX%	>80%	[OK / WARN]
DR Replication lag	X seconds	>60s	[OK / WARN]

3.3 Active Infrastructure Incidents

Incident #[ID] — [Tên ngắn]

• Ticket: [JIRA-XXXX / PagerDuty ID]
• Severity: [SEV1 / SEV2 / SEV3 / SEV4]
• Service bị ảnh hưởng: [/services/tên-service.md]
• Phát hiện: YYYY-MM-DD HH:MM UTC
• Root cause (sơ bộ): [Mô tả]
• User impact: [Mô tả tác động]
• Trạng thái hiện tại: [Investigating / Mitigated / Monitoring recovery]
• Next steps:
  1. [Action cần làm tiếp]
• Runbook đang dùng: [/irp/runbooks/tên-runbook.md]

3.4 Maintenance Windows & Changes

Task	Service	Thời gian	Trạng thái	Ticket
[Task đã hoàn thành]	[service]	HH:MM — HH:MM	Completed / Rolled Back	[Link]
[Task sắp tới]	[service]	YYYY-MM-DD HH:MM	Scheduled	[CR-XXXX]

3.5 Infrastructure Config Changes

Thay đổi	Component	Lý do	Ticket	Rollback available
[Mô tả]	[component]	[Lý do]	[CR-XXXX]	Yes / No

---

4. Observability & Monitoring Tool Status

Hệ Thống	Trạng Thái	Ghi Chú
Prometheus / Grafana	[Operational / Degraded]
SIEM	[Operational / Degraded]
Log aggregation (ELK / Loki)	[Operational / Degraded]
APM	[Operational / Degraded]
PagerDuty	[Operational / Degraded]
Status Page	[Up-to-date / Needs update]

---

5. Tasks Định Kỳ Trong Ca (Operational Checklist)

SOC Checklist

• Daily threat intel review: [Completed / N/A]
• SIEM dashboard review (no missed alerts): [Confirmed / Issues found]
• Vulnerability queue triage: [N items processed]
• User access review (if scheduled): [Completed / Skipped]
• Certificate expiry check: Gần nhất: [Cert name — Ngày hết hạn]

NOC Checklist

• Backup verification: [Passed / Failed] — [Tên backup job]
• DR sync / replication check: Lag hiện tại [X seconds]
• Log rotation / disk check: Free space [XX%]
• On-call schedule for next shift: Assigned to [Tên]
• Pending change requests review: [N CRs cần approve]

---

6. Liên Lạc Khẩn Cấp & Leo Thang (Emergency Contacts)

Vai Trò	Tên	Kênh	Scope
On-call Lead (SOC+NOC)	[Tên]	PagerDuty / Phone: +84...	24/7
Security Incident Commander	[Tên]	Slack: @username	Security incidents
Infrastructure Team Lead	[Tên]	Slack: @username	Infrastructure incidents
CISO	[Tên]	Phone: +84...	SEV1 security only
Cloud Provider Support	[AWS/GCP]	Case: [URL]	Infrastructure SEV1
Network NOC (ISP)	[ISP Name]	Phone: +...	Network issues
External IR Retainer	[Công ty]	Phone: +... / Email	Security breach

Chính sách leo thang: /irp/policies/escalation-policy.md

---

7. Cross-Domain Observations (Quan Sát Kết Hợp SOC+NOC)

Ví dụ: Traffic spike bất thường vừa là NOC alert (bandwidth) vừa là SOC concern (potential DDoS). Ghi nhận các correlation như vậy tại đây.

Sự kiện	NOC perspective	SOC perspective	Kết luận / Action
[Tên sự kiện]	[Mô tả từ infra góc nhìn]	[Mô tả từ security góc nhìn]	[Correlation finding]

---

8. Ghi Chú Bổ Sung (Additional Notes)

---

Handover hoàn tất lúc: YYYY-MM-DD HH:MM UTC Chữ ký xác nhận tiếp nhận (Incoming sign-off): __________________________