1. Ingestion - Thu nhận dữ liệu

Đây là bước tiếp nhận dữ liệu log từ các hệ thống bên ngoài vào SecOps. Dữ liệu được gửi vào hệ thống dưới dạng raw log (log thô), tức là chưa được chuẩn hóa.

2. Normalization - Chuẩn hóa dữ liệu

Ở bước này, hệ thống sử dụng Parser để:

• Phân tích raw log
• Trích xuất các trường dữ liệu
• Chuyển đổi dữ liệu sang Common Schema

3. Extension - Mở rộng dữ liệu

Ở bước này, hệ thống sẽ trích xuất thêm thông tin từ raw log hoặc từ các nguồn dữ liệu khác và bổ sung vào bản ghi Common Schema hiện có.

Mục tiêu của bước Extension là:

• Bổ sung thêm thông tin ngữ cảnh (context) cho log
• Hỗ trợ correlation, detection rule và threat hunting

4. Indexing - Lập chỉ mục dữ liệu

Việc indexing giúp hệ thống:

• Tìm kiếm log nhanh
• Phân tích dữ liệu
• Phát hiện sự kiện bảo mật
• Hiển thị dashboard và báo cáo