SOC脅威とアラートの監視

概要

効果的なSOCは、テレメトリーの完全性、品質検出、運用規律（優先順位付け、エスカレーション、ポストインシデント、改善）の3つの柱に基づいて構築されています。目標：行動指標と署名指標によって侵入者を迅速に特定し、SLO内で応答し、カバレッジを失うことなく偽陽性を最小限に抑える。

SOC監視アーキテクチャ

SIEM-イベント受信、正規化および相関；ダッシュボード、検索、アラート。
UEBA-ユーザー/ホストの行動分析、ベースラインプロファイル、および異常。
SOAR-応答の自動化：アラートの濃縮（TI、 CMDB）、封じ込めアクションのオーケストレーション。
TI（脅威インテリジェンス）-IOC/TTP/重大な脆弱性フィード；ルールと濃縮のコンテキスト。
ストレージ-「ホット」調査のための7-30日、コンプライアンス/レトロスペクティブのための「コールド」90-365+。

ログソース（最小十分）

アイデンティティとアクセス：

IdP/SSO （OIDC/SAML）、 MFA、 PAM、 VPN/ZTNA、ディレクトリ（AD/AAD）。

エンドポイント：

EDR/AV、 Sysmon/ETW （Windows）、 auditd/eBPF （Linux）、 MDM（モバイル）。

ネットワークおよび周囲：

ファイアウォール（L3/L7）、 WAF/WAAP、バランサ（NGINX/Envoy）、 DNS、プロキシ、NetFlow/sFlow/Zeek。

雲とプラットフォーム：

CloudTrail/Activity Logs、 KMS/Key Vault、 IAMイベント、Kubernetes（監査、APIサーバー）、コンテナセキュリティ。

アプリケーションとデータベース：

管理者監査、PII/支払いへのアクセス、DDL/権利、重要なビジネスイベント（出金、ボーナス、支払い）。

メールとコラボレーション：

フィッシング/スパム検出、DLP、 URLクリック、添付ファイル。

正規化：単一フォーマット（ECS/CEFなど）、必須フィールド：'timestamp'、 'src/dst ip'、 'user'、 'action'、 'resource'、 'result'、 'request_id/trace_id'。

脅威分類とATT&CKマッピング

MITRE ATT&CKセクションのルールとダッシュボードのビルド：初期アクセス、実行、持続性、特権エスカレーション、防衛回避、資格情報アクセス、発見、横方向の動き、C2、コレクション/排出/影響。
各戦術-最小限の検出とコントロールパネル「カバレッジと忠実度」。

アラートポリシーと優先順位付け

重要度：

P1（クリティカル）：アクティブC 2、成功したATO/トークン盗難、暗号化、支払いexfiltration/PII。
P2 （High）：インフラストラクチャ/クラウドでの実装、特権のエスカレーション、MFAのバイパス。
P3（中）：疑わしい異常、繰り返し失敗した試み、まれな行動。
P4（低）：ノイズ、仮説、TIは確認なしで一致します。
エスカレーション：P1-すぐにオンコール（24 × 7）、 P2-作業時間中≤ 1時間、残り-キューを介して。
ロールアップ：「嵐」を避けるために、オブジェクト/セッションごとにアラートを集約します。

SLI/SLO/SLA SOC

SLI：検出時間（MTTD）、確認時間（MTTA）、封じ込め時間（MTTC）、偽陽性（FP）の割合、およびシナリオクラスタの欠落（FN）。

SLO（例）：

MTTD P1 ≤ 5分；MTTC P1 ≤ 30分。
高い重大度の規則に従うFP率≤ 2 ％/day。
主要なAT&CK技術のカバレッジ≥ 90％（少なくとも1つの検出の存在）。
SLA（外部）：ビジネスとの座標（例：所有者のP1通知≤ 15分）。

検出ルール： 署名、ヒューリスティクス、行動

シグマ（例： 国内外の管理パネルへの不審なアクセス）

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL（例： 失敗したログインのサージ+同じIPから異なるアカウント）

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

アプリケーション（SQL、オフスケジュールPIIアクセス）

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBAとコンテキスト

ユーザー/ロール/サービス（クロック、ASN、デバイス）による基本的なアクティビティプロファイル。
異常：まれなIP/ASN、新しいデバイス、珍しいAPIシーケンス、活動時間の急激な変化。
リスクスコアイベント=シグナル（TI、異常、リソース感度）×重み。

SOARとレスポンスオートメーション

Enrichment： IP/domain/hash、 CMDB（ホスト/サービスを所有している）、HR（従業員ステータス）、IAMの役割のTI評判。
アクション：ホスト分離（EDR）、 IP/ASN/JA3ブロック、トークン/セッションの一時的な撤退、秘密の強制ローテーション、資金の撤退の禁止/ボーナスの凍結。
ガードレール：重要なアクションのための-2ファクター装置；ロックのTTL。

SOCプロセス

1.トリアージ：コンテキストチェック、重複排除、TI和解、プライマリATTおよびCK分類。
2.調査：アーティファクトの収集（PCAP/EDR/ログ）、仮説、タイムライン、損傷評価。
3.封じ込め/消去：分離、キー/トークンの失効、パッチ適用、ロック。
4.回復：清浄度制御、回転、再発監視。
5.RCA/レッスン：事後、更新規則/ダッシュボード、テストケースの追加。

検出のチューニングと品質

新しいルールのシャドウモード：read、 but not block。
リージョンパック：CIルールテストのための「良い/悪い」イベントのライブラリ。
FP修復：経路/役割/ASNによる除外；"evil by default'ルールはカナリアの後にのみ存在します。
ドリフトモニタリング：ベースライン活動の変化→しきい値/モデルの適応。

ダッシュボードとレビュー

運用：アクティブアラート、P1/P2、攻撃マップ（geo/ASN）、「トップトーカー」、TIマッチテープ。
戦術的：ATT及びCKの適用範囲、FP/FNの傾向、MTTD/MTTCの騒々しい源。
ビジネス：製品/地域別のインシデント、KPIへの影響（コンバージョン、タイムツーウォレット、支払い失敗）。

ストレージ、プライバシー、コンプライアンス

保持：少なくとも90日の「暖かい」ログ、必要に応じて1年間のアーカイブを≥（フィンテック/レギュレータ）。
PII/secrets：トークン化/マスキング、ロールアクセス、暗号化。
法的要件：インシデントレポート、意思決定チェーンの保持、クロック整合性（NTP）。

パープルチームとカバレッジチェック

脅威ハンティング：TTP仮説（例：T1059 PowerShell）、 SIEMのアドホッククエリ。
Purple Team： Red+Blueジョイントスプリント-TTPの実行、トリガーのチェック、ルールの最終決定。
検出の自動テスト：non-prodと「shadow」 prodでの参照イベント（原子テスト）の定期的な再プレイ。

iGaming/フィンテック特異性

重要なドメイン：ログイン/登録、入金/結論、プロモーション、PII/finへのアクセス。報告します。
シナリオ：ATO/クレデンシャルの詰め物、カードテスト、ボーナスの乱用、支払いへのインサイダーのアクセス。
ルール：velocity to '/login'、'/withdraw'、 idempotency and HMAC of webhook、 mTLS to PSP、 PAN/PIIでテーブルにアクセスするための検出。
ビジネスのトリガー：支払いの失敗/チャージバックの急激な増加、コンバージョンの異常、「ゼロ」預金のバースト。

ランブックの例（略称）

P1： 確認されたATOと引き出し

1.SOARはセッションをブロックし、リフレッシュトークンをリコールし、ピンをフリーズします（TTL 24 h）。
2.製品/金融の所有者に通知します。パスワードreset/2FA-rebindを開始します。
3.デバイス/IP/ASN列で近隣のアカウントを確認します。ブロックをクラスタで展開します。
4.RCA：繰り返し検出を追加し、速度のしきい値を'/withdraw'に増加させます。

P2： サーバ上での実行（T1059）

1.EDRの分離、記憶/アーティファクトの取り外し。
2.最新の預金/秘密の在庫。キーの回転。
3.IOC艦隊狩猟；DNS/プロキシでC2をチェックしています。
4.事後インシデント：ルール「Parent=nginx→bash」+Sysmon/Linux-auditのSigma。

頻繁なミス

正規化およびTTLなしの騒音のSIEMの積み過ぎ。
AT&CK→ブラインドスポットでのマッピングされていない検出。
SOAR/enrichmentなし-長いMTTA、手動ルーチン。
UEBA/行動を無視する-「遅い」インサイダーをスキップします。
TTLのない堅牢なグローバルTIブロック→ビジネストラフィックを削減します。
ルールの回帰テストの欠如。

実装ロードマップ

1.ログインベントリと正規化（ECS/CEF）、「minimum set」。
2.AT&CKコーティングマトリックスと基本的な高リスク検出。
3.SLOとキュー：P1-P4、オンコール、エスカレーション。
4.SOARプレイブック：濃縮、封じ込めアクション、TTLブロック。
5.UEBAとリスクスコアリング：プロファイル、異常、ドリフトモニタリング。
6.Purple Team/Detectテスト：シャドウモード、カナリア、回帰パック。
7.レポートとコンプライアンス：保存、プライバシー、ビジネスダッシュボード。

［結果］

成熟したSOCは完全なテレメトリー+定性検出+応答規律です。ルールをMITRE ATT&CKにリンクし、SOARの濃縮と封じ込めを自動化し、SLO指標で結果を測定し、Purple Teamで定期的にカバレッジを確認します。モニタリングはノイズに強く、実際の脅威に迅速に対応し、ビジネス指標を維持します。