SOC威胁和Alerta监视
简短摘要
有效的SOC基于三个鲸鱼:遥测的完整性,高质量的检测和操作学科(优先级,升级,事件后和改进)。目的:通过行为和签名指标快速识别攻击者,在SLO内做出反应,并尽量减少误报而不会失去覆盖。
SOC监控体系结构
SIEM-事件的接收,正常化和相关性;dashbords,搜索,alerting。
UEBA是用户/主机的行为分析,基本配置文件和异常。
SOAR-响应自动化:Alert富集(TI,CMDB),容器操作编排。
TI(威胁智能)是IOC/TTP/关键漏洞的类型;规则和丰富的背景。
存储是用于调查的"热"7-30天,用于编译/回顾的"冷"90-365+。
Logs来源(最低限度足够)
身份和访问:- IdP/SSO(OIDC/SAML),MFA,PAM,VPN/ZTNA,目录(AD/AAD)。
- EDR/AV,Sysmon/ETW(Windows),auditd/eBPF(Linux),MDM(移动设备)。
- Fairvols(L3/L7),WAF/WAAP,平衡器(NGINX/Envoy),DNS,代理,NetFlow/sFlow/Zeek。
- CloudTrail/Activity Logs,KMS/Key Vault,IAM事件,Kubernetes(审计,API服务器),容器安全性。
- Admirnock审计,访问PII/付款,DDL/权利,关键业务事件(withdraw,bonus,payout)。
- 网络钓鱼/垃圾邮件制作、DLP、URL点击、附件。
标准化:单一格式(例如ECS/CEF),必填字段:"timestamp","src/dst ip","user","action","resource","result","request_id/trace_id"。
威胁分类法和ATT&CK映射
在MITRE ATT&CK: Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, C2, Collection/Exfiltration/Impact。
对于每个策略-最小检测和"coverage vs. fidelity"控制面板。
Alerting策略和优先级
Severity:
P1(批判):主动C2,成功的ATO/代币绑架,加密,支付/PII过滤。
P2(高):在基础架构/云中实施,特权升级,绕过MFA。
P3 (Medium):可疑异常、反复尝试失败、罕见行为。
P4(低):噪声,假设,TI匹配未经确认。
升级:P1-立即拨打(24 × 7),P2-在工作时间≤ 1小时,其余通过队列。
复制重复:按对象/会话汇总差异以避免"风暴"。
SLI/SLO/SLA SOC
SLI:检测时间(MTTD),确认时间(MTTA),延迟时间(MTTC),假阳性(FP)和缺失(FN)在场景群集中的比例。
SLO(示例):- MTTD P1 ≤ 5分钟;MTTC P1 ≤ 30分钟。
- 高保真度规则的FP-rate ≤ 2%/天。
- 关键的ATT&CK技术人员覆盖率≥ 90%(至少有一个检测)。
- SLA(外部):与企业保持一致(例如P1业主通知≤ 15分钟)。
检测规则: 签名、启发式、行为
Sigma(示例: 在国外可疑访问管理)
yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA PL GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)KQL(示例: 失败登录激增+来自单个IP的不同帐户)
kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5应用程序(SQL,访问图形外的PII)
sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;UEBA和上下文
按用户/角色/服务(时钟、ASN、设备)分列的基本活动配置文件。
异常:罕见的IP/ASN,新的devys,不寻常的API序列,活动时间的急剧变化。
风险得分事件=信号(TI,异常,资源灵敏度)×权重。
SOAR和响应自动化
丰富:IP/域/哈希的 TI声誉,CMDB(主机/服务的所有者),HR(员工身份),IAM角色。
行动:主机隔离(EDR)、锁定IP/ASN/JA3、临时召回令牌/会话、强制轮换秘密、禁止退款/冻结奖金。
Gward Rails:对于关键动作-双因素应用;TTL锁定。
SOC进程
1.三元组:上下文检查,重复数据消除,与TI匹配,ATT和CK的主要分类。
2.调查:文物收集(PCAP/EDR/logi),假设,时间线,损害评估。
3.Containment/Eradication:隔离、密钥/令牌召回、修补、锁定。
4.恢复:清洁控制,轮换,重复监测。
5.RCA/教训:事后事件,规则/行列更新,添加测试案例。
调谐和检测质量
新规则的阴影模式:计数但不阻止。
Regression pack: CI规则测试的"好/坏"事件库。
FP恢复:路径/角色/ASN例外;"邪恶默认"规则仅在金丝雀之后。
漂移监测:改变基本活动→调整阈值/模型。
Dashbords和评论
操作:主动Alert,P1/P2,攻击图(geo/ASN),"top talkers",TI匹配磁带。
战术:ATT和CK覆盖,FP/FN趋势,MTTD/MTTC,"噪音"来源。
业务:按产品/地区分列的事件,对KPI的影响(转换,时间到钱包,付款故障)。
存储、隐私和合规性
重组:"温暖"博客至少90天,≥需要的1年存档(fintech/监管机构)。
PII/保密:令牌/掩码,角色访问,加密。
法律要求:事件报告,决策链存储,时钟一致性(NTP)。
紫色团队和涂层检查
威胁狩猎:关于TTP(例如PowerShell T1059)的假设,SIEM的临时查询。
紫色团队:Red+Blue联合冲刺-启动TTP,检查触发器,完善规则。
探测器自动测试:非探测器和"影子"探测器中的定期重新播放参考事件(原子测试)。
iGaming/fintech的细节
关键域:登录/注册,存款/结算,促销,访问PII/fin。报告。
情景:ATO/credential stuffing, card testing,奖金处理,内幕付款访问。
规则:在"/login","/withdraw",等效性和HMAC webhooks,mTLS到PSP,用于访问PAN/PII表的检测。
业务触发因素:付款故障/充电包急剧增加,转换异常,"零"存款激增。
运行手册示例(缩写)
P1: 确认的ATO和提款
1.SOAR阻止会议,召回refresh令牌,冻结结论(TTL 24小时)。
2.通知产品/财务所有者;启动密码reset/2FA-rebind。
3.通过设备/IP/ASN图检查相邻的帐户;按群集扩展块。
4.RCA:添加重复检测,在"/withdraw"上增强速度阈值。
P2: 服务器上的Execyush (T1059)
1.EDR隔离,内存/工件移除。
2.最新解密/秘密清单;按键旋转。
3.IOC狩猎舰队;在DNS/Proxy中验证C2。
4.后事件:Sysmon/Linux审核的"Parent=nginx → bash"+Sigma规则。
经常出错
SIEM过载噪声而无需归一化和TTL。
ATT&CK上的无模拟检测→"盲点"。
没有SOAR/富集-长的MTTA,手动程序。
忽略UEBA/行为-跳过"缓慢"的内部人员。
没有TTL的硬全局TI块→切断业务流量。
没有回归规则测试。
实施路线图
1.记录清单和规范化(ECS/CEF),"最小集合"。
2.ATT&CK涂层矩阵和高风险基本检测。
3.SLO和队列:P1-P4,呼叫和升级。
4.SOAR花花公子:丰富,集群作用,TTL块。
5.UEBA和风险评分:轮廓,异常,漂移监测。
6.紫色团队/检测测试:阴影模式,金丝雀,回收包。
7.报告和合规性:重建,隐私,商业行车记录仪。
结果
成熟的SOC是完整的遥测+定性检测+响应学科。将规则引入MITRE ATT&CK,在SOAR中实现浓缩和封装自动化,测量SLO指标结果,在Purple Team中定期检查覆盖范围-您的监控将抵御噪音,快速应对实际威胁并支持业务指标。