SOC 위협 및 경보 모니터링
간략한 요약
효과적인 SOC는 원격 측정의 완전성, 품질 감지 및 운영 분야 (우선 순위, 에스컬레이션, 사고 후 및 개선) 의 세 가지 기둥에 구축됩니다. 목표는 행동 및 서명 지표로 침입자를 신속하게 식별하고 SLO 내에서 응답하며 적용 범위를 잃지 않고 오 탐지를 최소화하는 것입니다.
SOC 모니터링 아키텍처
SIEM - 이벤트 수신, 정규화 및 상관 관계; 대시 보드, 검색, 경고.
UEBA - 사용자/호스트 행동 분석, 기준 프로파일 및 이상.
SOAR-응답 자동화: 경보 강화 (TI, CMDB), 격리 작업 오케스트레이션.
TI (Threat Intelligence) -IOC/TTP/중요한 취약성 피드; 규칙과 강화에 대한 맥락.
스토리지- 조사를위한 "핫" 7-30 일, 규정 준수/회고를위한 "콜드" 90-365 +.
로그 소스 (최소 충분)
정체성 및 액세스:- IdP/SSO (OIDC/SAML), MFA, PAM, VPN/ZTNA, 디렉토리 (AD/AAD).
- EDR/AV, Sysmon/ETW (Windows), auditd/eBPF (Linux), MDM (mobile).
- 방화벽 (L3/L7), WAF/WAAP, 밸런서 (NGINX/Envoy), DNA, 프록시, NetFlow/sFlow/Zeek.
- CloudTrail/Activity Logs, KMS/Key Vault, IAM 이벤트, Kubernetes (감사, API 서버), 컨테이너 보안.
- 관리 감사, PII/결제 액세스, DDL/권리, 중요한 비즈니스 이벤트 (철회, 보너스, 지불).
- 피싱/스팜 감지, DLP, IM 클릭, 첨부 파일.
정규화: 단일 형식 (예: ECS/CEF), 필수 필드: '타임 스탬프', 'src/-ip', '사용자', '작업', '리소스', '결과', '요청 _ id/trace _ id'.
위협 분류 및 ATT 및 CK 매핑
MITRE ATT&CK 섹션에서 규칙 및 대시 보드 구축: 초기 액세스, 실행, 지속, 특권 확대, 방어 회피, 신뢰성 접근, 발견, 측면 이동, C2, 수집/추출/영향.
각 전술에 대해-최소 탐지 및 제어 패널 "적용 범위 대 충실도".
경보 정책 및 우선 순위
심각도:- P1 (중요): 활성 C2, 성공적인 ATO/토큰 도난, 암호화, 지불 유출/PII.
- P2 (High): 인프라/클라우드 구현, MFA 우회 권한 확대.
- P3 (중간): 의심스러운 이상, 반복적으로 실패한 시도, 드문 행동.
- P4 (낮음): 소음, 가설, TI는 확인없이 일치합니다.
- 에스컬레이션: P1 - 즉시 통화 중 (24 × 7), P2 - 근무 시간 제곱 1 시간 동안 나머지는 대기열을 통과합니다.
- 롤업: "폭풍" 을 피하기 위해 객체/세션별로 경고를 집계하십시오.
SLI/SLO/SLA SOC
SLI: 시나리오 클러스터에서 탐지 시간 (MTTD), 확인 시간 (MTTA), 격리 시간 (MTTC), 오 탐지 (FP) 및 누락 된 (FN) 비율.
SLO (예):- MTTD P1 체 5 분; MTTC P1 체 30 분
- 높은 심각도 규칙에 따른 FP 비율은 2 %/일입니다.
- 주요 ATT&CK 기술의 적용 범위는 90% 이상입니다 (하나 이상의 탐지 존재).
- SLA (외부): 비즈니스와 조정 (예: 소유자의 P1 알림
탐지 규칙: 서명, 휴리스틱, 행동
시그마 (예: 국가 외부의 관리자 패널에 대한 의심스러운 액세스)
yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA PL GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)KQL (예: 실패한 로그인의 급증 + 동일한 IP의 다른 계정)
kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5응용 프로그램 (SQL, 오프 스케줄 PII 액세스)
sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;UEBA와 상황
사용자/역할/서비스 별 기본 활동 프로파일 (클럭, ASN, 장치).
Anomalies: 드문 IP/ASN, 새로운 장치, 비정상적인 API 시퀀스, 활동 시간의 급격한 변화.
위험 점수 이벤트 = 신호 (TI, 이상, 자원 감도) × 가중치.
SOAR 및 응답 자동화
농축: IP/도메인/해시, CMDB (호스트/서비스를 소유 한 사람), HR (직원 상태), IAM 역할의 TI 평판.
조치: 호스트 격리 (EDR), IP/ASN/JA3 차단, 토큰/세션의 일시적인 철회, 강제 비밀 교체, 자금 인출 금지/보너스 동결.
가드 레일: 중요한 작업을위한 - 2 인자 장치; 자물쇠에 TTL.
SOC 프로세스
1. 심사: 상황 확인, 중복 제거, TI 조정, 기본 ATT 및 CK 분류.
2. 조사: 아티팩트 수집 (PCAP/EDR/로그), 가설, 타임 라인, 손상 평가.
3. 격리/근절: 격리, 키/토큰 취소, 패치, 잠금 장치.
4. 복구: 청결 제어, 회전, 재발 모니터링.
5. RCA/레슨: 사후 사건, 업데이트 규칙/대시 보드, 테스트 사례 추가.
튜닝 및 탐지 품질
새로운 규칙의 그림자 모드: 읽지 만 차단하지 마십시오.
지역 팩: CI 규칙 테스트를위한 "좋은/나쁜" 이벤트 라이브러리.
FP 치료: 경로/역할/ASN에 의한 제외; "기본적으로 악한" 규칙은 카나리아 이후입니다.
드리프트 모니터링: 기준 활동의 변화 → 임계 값/모델의 적응.
대시 보드 및 리뷰
운영: 활성 경고, P1/P2, 공격 맵 (geo/ASN), "탑 토커", TI 매치 테이프.
전술: ATT&CK 적용 범위, FP/FN 트렌드, MTTD/MTTC, 잡음이 많은 소스.
비즈니스: 제품/지역 별 사고, KPI에 미치는 영향 (변환, 지갑 시간, 지불 실패).
저장, 개인 정보 보호 및 규정 준수
보존: 최소 90 일의 "따뜻한" 로그, 필요한 경우 1 년 이상의 아카이브 (핀 테크/레귤레이터).
PII/비밀: 토큰 화/마스킹, 역할 액세스, 암호화.
법적 요구 사항: 사건보고, 의사 결정 체인 유지, 시계 일관성 (NTP).
보라색 팀 및 적용 범위 확인
위협 사냥: TTP 가설 (예: T1059 PowerShell), SIEM의 임시 쿼리.
퍼플 팀: Red + Blue 조인트 스프린트-TTP 실행, 트리거 확인, 규칙 마무리.
탐지 자동 테스트: 비 prod 및 "shadow" prod에서 참조 이벤트 (원자 테스트) 를 주기적으로 재생합니다.
iGaming/fintech 특이성
중요한 도메인: 로그인/등록, 예금/결론, 프로모션, PII/핀 액세스. 보고서.
시나리오: ATO/자격 증명 채우기, 카드 테스트, 보너스 남용, 내부자 지불 액세스.
규칙: 웹 후크의 '/로그인 ', '/철회', demempotency 및 HMAC, mTLS to PSP, PAN/PII를 사용한 테이블 액세스 탐지.
비즈니스 트리거: 지불 실패/요금 환급의 급격한 증가, 전환의 이상, "제로" 예금 버스트.
런북의 예 (약칭)
P1: ATO 확인 및 인출
1. SOAR은 세션을 차단하고 새로 고침 토큰을 리콜하며 핀 동결 (TTL 24 h) 합니다.
2. 제품/금융 소유자에게 알리십시오. 암호 재설정/2FA 재 바인드 시작
3. 장치/IP/ASN 열로 인접 계정을 확인하십시오. 클러스터별로 블록을 확장합니다.
4. RCA: 반복 탐지를 추가하고 속도 임계 값을 '/relar '로 증가시킵니다.
P2: 서버에서의 실행 (T1059)
1. EDR 격리, 메모리/아티팩트 제거.
2. 최신 예금/비밀 목록; 키 회전.
3. IOC 함대 사냥; (PHP 3 = 3.0.6, PHP 4)
4. 사고 후: 규칙 "Parent = nginx → bash" + Sysmon/Linux 감사 용 시그마.
빈번한 실수
정규화 및 TTL없이 노이즈로 SIEM 과부하.
ATT&CK → 사각 지대에서 매핑되지 않은 검출.
SOAR/강화 없음-긴 MTTA, 수동 루틴.
UEBA/동작 무시-" 느린 "내부자 건너 뛰기.
TTL이없는 엄격한 글로벌 TI 블록은 비즈니스 트래픽을 차단합니다.
규칙의 회귀 테스트 부족.
구현 로드맵
1. 로그 인벤토리 및 정규화 (ECS/CEF), "최소 세트".
2. ATT&CK 코팅 매트릭스 및 기본 고위험 탐지.
3. SLO 및 대기열: P1-P4, 통화 중 및 에스컬레이션.
4. SOAR 플레이 북: 농축, 격리 작업, TTL 블록.
5. UEBA 및 위험 점수: 프로필, 이상, 드리프트 모니터링.
6. 퍼플 팀/탐지 테스트: 섀도우 모드, 카나리아, 회귀 팩.
7. 보고 및 준수: 보존, 개인 정보 보호, 비즈니스 대시 보드.
결과
성숙한 SOC는 완전한 원격 측정 + 정 탐지 + 응답 분야입니다. MITRE ATT & CK에 대한 링크 규칙, SOAR의 농축 및 격리 자동화, SLO 메트릭으로 결과 측정, 정기적으로 퍼플 팀의 적용 범위 점검-모니터링은 노이즈 방지, 실제 위협에 신속하게 대응하고 비즈니스 메트릭을 유지합니다.