SOC Shift Handover
Outgoing Analyst: [Tên kỹ sư bàn giao] Incoming Analyst: [Tên kỹ sư tiếp nhận] Shift Period: YYYY-MM-DD HH:MM UTC → YYYY-MM-DD HH:MM UTC Platform: [Tên platform / region phụ trách]
1. Tổng Quan Ca Trực (Shift Summary)
| Chỉ Số | Giá Trị | Ghi Chú |
|---|---|---|
| Tổng alerts nhận | N | Bao gồm auto-resolved |
| Alerts cần xử lý thủ công | N | Yêu cầu analyst action |
| Incidents mở (đang xử lý) | N | |
| Incidents đã đóng trong ca | N | |
| Escalations đã thực hiện | N | |
| False positives được xác nhận | N | Đã tune rule nếu cần |
Đánh giá tổng thể ca trực (Overall Shift Assessment):
-
CLEAR— Không có threat đáng kể, hệ thống hoạt động bình thường. -
ELEVATED— Có dấu hiệu bất thường đang theo dõi, chưa xác nhận là threat. -
ACTIVE THREAT— Đang có investigation/incident chưa được resolve.
2. Trạng Thái SIEM & Công Cụ Giám Sát (SIEM & Monitoring Tool Status)
| Công Cụ | Trạng Thái | Ghi Chú |
|---|---|---|
| SIEM (ví dụ: Splunk / QRadar / Elastic) | [Operational / Degraded / Down] | |
| EDR Platform | [Operational / Degraded / Down] | |
| WAF / IDS / IPS | [Operational / Degraded / Down] | |
| Threat Intelligence Feed | [Connected / Disconnected] | |
| SOAR / Ticketing System | [Operational / Degraded / Down] |
⚠️ Lưu ý: Nếu bất kỳ công cụ nào ở trạng thái
DegradedhoặcDown, ghi rõ thời điểm phát hiện, ticket xử lý và phương án bypass tạm thời.
3. Active Investigations (Điều Tra Đang Mở)
Liệt kê tất cả investigation chưa được đóng, theo thứ tự ưu tiên giảm dần.
3.1 Investigation #[ID] — [Tên ngắn gọn]
- Ticket / Case ID: [SIEM-XXXX hoặc Ticket URL]
- Severity:
[Critical / High / Medium / Low] - Thời điểm phát hiện: YYYY-MM-DD HH:MM UTC
- Source alert / Rule triggered:
[Tên rule/alert] - Tóm tắt tình hình:
- Indicators of Compromise (IoC) đã thu thập:
- IP:
x.x.x.x - Hash:
SHA256:... - Domain:
malicious.example.com
- IP:
- Hành động đã thực hiện:
- [Bước 1]
- [Bước 2]
- Hành động cần tiếp tục (Next Steps cho incoming analyst):
- [Action cụ thể cần làm]
- [Action cụ thể cần làm]
- Escalation status:
[Not escalated / Escalated to: Tên/Team]
4. Alerts Đã Xử Lý & Đóng Trong Ca (Closed Alerts Summary)
| Alert ID | Rule / Signature | Thời điểm | Verdict | Hành động thực hiện |
|---|---|---|---|---|
SIEM-XXXX | [Tên rule] | HH:MM UTC | True Positive / False Positive / Benign | [Mô tả ngắn] |
SIEM-XXXX | [Tên rule] | HH:MM UTC | True Positive / False Positive / Benign | [Mô tả ngắn] |
5. Phân Tích Threat Intelligence (Threat Intel Update)
- Nguồn cấp tin: [CISA / FS-ISAC / Internal feed / Vendor advisory]
- CVE / Threat Actor / Campaign mới được phát hành:
- Đánh giá tác động tới hệ thống tổ chức:
[High / Medium / Low / Not applicable] - Hành động phòng ngừa đã thực hiện:
6. Thay Đổi Cấu Hình & Rule Tuning (Configuration Changes)
Ghi lại mọi thay đổi rule, whitelist, hoặc policy áp dụng trong ca trực.
| Thay đổi | Lý do | Người thực hiện | Ticket/Approval |
|---|---|---|---|
| [Mô tả thay đổi] | [Lý do cụ thể] | [Tên analyst] | [Link ticket] |
7. Các Sự Kiện Bảo Mật Định Kỳ & Nhắc Nhở (Recurring Tasks & Reminders)
- Review và rotate credential theo lịch định kỳ:
[Ngày hết hạn gần nhất] - Kiểm tra certificate sắp hết hạn:
[Danh sách cert / hạn ngày] - Penetration test / Vulnerability scan kết quả pending:
[Link ticket] - Compliance audit checklist cần hoàn thành:
[Deadline] -
[Nhắc nhở khác]
8. Liên Lạc Khẩn Cấp & Leo Thang (Emergency Contacts & Escalation)
| Vai Trò | Tên | Kênh Liên Lạc | Giờ Hoạt Động |
|---|---|---|---|
| SOC Lead / Manager on-call | [Tên] | PagerDuty / Phone: +84... | 24/7 |
| Security Incident Commander | [Tên] | Slack: @username | [Giờ] |
| CISO / Security Director | [Tên] | Phone: +84... | SEV1 only |
| External IR Retainer | [Tên công ty] | Phone: +... / Email | 24/7 |
Chính sách leo thang áp dụng: /irp/policies/escalation-policy.md
9. Ghi Chú Bổ Sung Cho Ca Tiếp Theo (Notes for Incoming Shift)
Handover hoàn tất lúc: YYYY-MM-DD HH:MM UTC Chữ ký xác nhận tiếp nhận (Incoming Analyst sign-off): __________________________