10 dự án SOC Analyst thực chiến nên làm giúp nâng cấp CV trong 2026

Bạn muốn trở thành SOC Analyst nhưng chưa biết nên làm dự án nào? Bài viết tổng hợp 10 dự án SOC Analyst thực chiến từ SIEM, Incident Response đến Threat Hunting giúp nâng cao kỹ năng và làm đẹp CV xin việc.

Vì sao dự án SOC Analyst quan trọng hơn chứng chỉ?

Trong lĩnh vực An ninh mạng, đặc biệt là tại các trung tâm SOC (Security Operations Center), việc chỉ nắm vững lý thuyết hay sở hữu nhiều chứng chỉ là chưa đủ để đáp ứng yêu cầu công việc thực tế. Nhà tuyển dụng không chỉ quan tâm bạn đã học gì, mà quan trọng hơn là bạn đã từng xử lý những tình huống an ninh cụ thể như thế nào.

Thông qua dự án, nhà tuyển dụng có thể đánh giá cách bạn phân tích alert, điều tra sự cố, truy vết nguyên nhân gốc rễ, cũng như mức độ hiểu biết của bạn về bản chất các kỹ thuật tấn công. Một dự án được thực hiện và trình bày bài bản sẽ cho thấy bạn không chỉ biết công cụ, mà thực sự tư duy và hành động như một SOC Analyst.

Một dự án SOC Analyst tốt cần đáp ứng những tiêu chí nào?

Dự án SOC Analyst được đánh giá tốt khi thông qua nó có thể đánh giá được đầy đủ tư duy của một analyst thực thụ:

• Phân tích alert và log: Không chỉ xem alert, mà phải hiểu vì sao nó xuất hiện.

• Điều tra nguyên nhân (root cause): Xác định hành vi nào gây ra cảnh báo, có phải tấn công thật hay false positive.

• Mapping MITRE ATT&CK: Liên kết hành vi quan sát được với kỹ thuật và chiến thuật của attacker.

• Ghi nhận & báo cáo sự cố: Trình bày rõ phát hiện, mức độ ảnh hưởng và hướng xử lý.

Nếu dự án của bạn thể hiện được 4 yếu tố này, năng lực của bạn chắc chắn sẽ được nhà tuyển dụng đánh giá cao.

10 dự án thực chiến giúp bạn chốt job SOC Analyst đầu tiên

Nếu bạn đang đặt mục tiêu trở thành một chuyên viên SOC (Security Operations Center) Tier 1 hoặc Tier 2, hãy bắt tay ngay vào 10 dự án thực chiến dưới đây để minh chứng năng lực thực tế của mình.

1. Xây dựng hệ thống giám sát SIEM và Phát hiện đe dọa

Thay vì chỉ học lý thuyết, bạn hãy tự xây dựng một Lab sử dụng Splunk hoặc ELK Stack. Hãy đẩy các dữ liệu log thực tế vào hệ thống và thiết lập các quy tắc (rules) tùy chỉnh. Mục tiêu là phát hiện chính xác các cuộc tấn công Brute force, hành vi lạm dụng PowerShell hoặc các dấu hiệu đăng nhập bất thường từ các dải IP lạ.

2. Mô phỏng và Phản ứng sự cố Phishing

Phishing vẫn là vector tấn công phổ biến nhất. Dự án này yêu cầu bạn tái hiện một kịch bản từ lúc email giả mạo xâm nhập đến khi mã độc được thực thi. Bạn cần điều tra log, xác định con đường lây nhiễm (infection vector), tiến hành cô lập mối đe dọa và quan trọng nhất là viết một Báo cáo sự cố (Incident Report) chuẩn chỉnh.

3. Triển khai IDS và Phân tích gói tin (Packet Analysis)

Hãy cài đặt và cấu hình các hệ thống phát hiện xâm nhập như Snort hoặc Suricata. Sau đó, hãy sử dụng Wireshark để phân tích các tệp PCAP. Việc đối chiếu các cảnh báo với lưu lượng tấn công thực tế và ánh xạ chúng vào ma trận MITRE ATT&CK sẽ giúp CV của bạn cực kỳ ấn tượng.

4. Giám sát An ninh Đám mây (Cloud Security Monitoring)

Với xu hướng chuyển dịch lên Cloud, kỹ năng giám sát AWS CloudTrail hoặc Azure logs là điểm cộng rất lớn. Hãy thử mô phỏng các hành vi lạm dụng quyền IAM (Identity and Access Management) và phân tích các hoạt động khả nghi. Đây là kỹ năng mà các đội ngũ Dịch vụ Managed SOC hiện đại cực kỳ săn đón.

5. Giám sát Endpoint chuyên sâu với Sysmon và Wazuh

Endpoint là "tiền tuyến" của mọi cuộc tấn công. Bạn hãy triển khai thu thập dữ liệu từ máy trạm thông qua Sysmon và tích hợp vào Wazuh. Tập trung vào việc phát hiện các kỹ thuật như:

• Trích xuất thông tin xác thực (Credential dumping).

• Thiết lập sự hiện diện bền bỉ (Persistence).

• Các tiến trình lạ chạy từ thư mục tạm.

6. Săn tìm mối đe dọa (Threat Hunting) trên dữ liệu thực

Đừng đợi cảnh báo xuất hiện. Hãy thực hiện Threat Hunting chủ động trên log Windows hoặc Zeek. Sử dụng ngôn ngữ truy vấn như SPL (Splunk) hoặc KQL (Azure) để xây dựng dòng thời gian cuộc tấn công (attack timelines), tìm kiếm những dấu vết mà các công cụ tự động có thể bỏ sót.

7. Tự động hóa bảo mật với Scripting

Một SOC Analyst giỏi là người biết tối ưu hóa quy trình. Hãy viết các script (Python hoặc Bash) để tự động hóa việc làm giàu dữ liệu IOC (IOC enrichment), phân tách log (parsing) hoặc phân loại cảnh báo (triage). Đây chính là mô hình thu nhỏ của các hệ thống SOAR chuyên nghiệp.

8. Triển khai Honeypot và Khai thác Threat Intelligence

Hãy thiết lập một "bẫy" Honeypot để thu hút kẻ tấn công. Từ những dữ liệu thu được (IP, kỹ thuật, mã độc), bạn hãy phân tích và viết một bản tin tóm tắt về mối đe dọa (threat brief). Điều này cho thấy bạn có tư duy phòng thủ chủ động.

9. Nghiên cứu sâu về Threat Intelligence và APT

Hãy chọn một nhóm tấn công có chủ đích (APT) hoặc một dòng mã độc mới để nghiên cứu. Thực hiện ánh xạ các kỹ thuật của chúng (TTPs) và tìm hiểu cách các nguồn tin tình báo hỗ trợ việc phát hiện sớm trong môi trường doanh nghiệp. Bạn có thể tham khảo các báo cáo từ Dịch vụ Đánh giá an ninh mạng của IPSIP để có cái nhìn thực tế hơn.

10. Phân tích Email Phishing và Malware (Sandbox)

Cuối cùng, hãy rèn luyện kỹ năng phân tích mã độc trong môi trường an toàn (Sandbox). Hãy trích xuất các chỉ số nhận diện (IOCs) như Domain, IP, Hash file và ghi chép lại quy trình phân tích như một Analyst Tier 1 thực thụ.

Kinh nghiệm làm SOC không đến từ việc đọc sách, nó đến từ hàng giờ đồng hồ soi log và điều tra thực tế. Nếu trong buổi phỏng vấn, bạn có thể giải thích rõ: Bạn đã phát hiện thấy gì? Tại sao nó quan trọng? Và bạn đã xử lý nó như thế nào? - khi đó, cánh cửa vào ngành an ninh mạng luôn rộng mở với bạn. 

Bạn sẽ bắt đầu với dự án SOC nào đầu tiên trong danh sách này? Hãy chia sẻ cùng IPSIP Vietnam nhé!

Nguồn tham khảo: 10 projects for SOC Analyst job - Cyber Warriors