SOC威脅和Alerta監視
簡短摘要
有效的SOC基於三個鯨魚:遙測的完整性,高質量的檢測和操作學科(優先級,升級,事件後和改進)。目的:通過行為和簽名指標快速識別攻擊者,在SLO內做出反應,並盡量減少誤報而不會失去覆蓋。
SOC監控體系結構
SIEM-事件的接收,正常化和相關性;dashbords,搜索,alerting。
UEBA是用戶/主機的行為分析,基本配置文件和異常。
SOAR-響應自動化:Alert富集(TI,CMDB),容器操作編排。
TI(威脅智能)是IOC/TTP/關鍵漏洞的類型;規則和豐富的背景。
存儲是用於調查的「熱」7-30天,用於編譯/回顧的「冷」90-365+。
Logs來源(最低限度足夠)
身份和訪問:- IdP/SSO(OIDC/SAML),MFA,PAM,VPN/ZTNA,目錄(AD/AAD)。
- EDR/AV,Sysmon/ETW(Windows),auditd/eBPF(Linux),MDM(移動設備)。
- Fairvols(L3/L7),WAF/WAAP,平衡器(NGINX/Envoy),DNS,代理,NetFlow/sFlow/Zeek。
- CloudTrail/Activity Logs,KMS/Key Vault,IAM事件,Kubernetes(審計,API服務器),容器安全性。
- Admirnock審計,訪問PII/付款,DDL/權利,關鍵業務事件(withdraw,bonus,payout)。
- 網絡釣魚/垃圾郵件制作、DLP、URL點擊、附件。
標準化:單一格式(例如ECS/CEF),必填字段:「timestamp」,「src/dst ip」,「user」,「action」,「resource」,「result」,「request_id/trace_id」。
威脅分類法和ATT&CK映射
在MITRE ATT&CK: Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, C2, Collection/Exfiltration/Impact。
對於每個策略-最小檢測和「coverage vs. fidelity」控制面板。
Alerting策略和優先級
Severity:
P1(批判):主動C2,成功的ATO/代幣綁架,加密,支付/PII過濾。
P2(高):在基礎架構/雲中實施,特權升級,繞過MFA。
P3 (Medium):可疑異常、反復嘗試失敗、罕見行為。
P4(低):噪聲,假設,TI匹配未經確認。
升級:P1-立即撥打(24 × 7),P2-在工作時間≤ 1小時,其余通過隊列。
復制重復:按對象/會話匯總差異以避免「風暴」。
SLI/SLO/SLA SOC
SLI:檢測時間(MTTD),確認時間(MTTA),延遲時間(MTTC),假陽性(FP)和缺失(FN)在場景群集中的比例。
SLO(示例):- MTTD P1 ≤ 5分鐘;MTTC P1 ≤ 30分鐘。
- 高保真度規則的FP-rate ≤ 2%/天。
- 關鍵的ATT&CK技術人員覆蓋率≥ 90%(至少有一個檢測)。
- SLA(外部):與企業保持一致(例如P1業主通知≤ 15分鐘)。
檢測規則: 簽名、啟發式、行為
Sigma(示例: 在國外可疑訪問管理)
yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA PL GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)KQL(示例: 失敗登錄激增+來自單個IP的不同帳戶)
kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5應用程序(SQL,訪問圖形外的PII)
sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;UEBA和上下文
按用戶/角色/服務(時鐘、ASN、設備)分列的基本活動配置文件。
異常:罕見的IP/ASN,新的devys,不尋常的API序列,活動時間的急劇變化。
風險得分事件=信號(TI,異常,資源靈敏度)×權重。
SOAR和響應自動化
豐富:IP/域/哈希的 TI聲譽,CMDB(主機/服務的所有者),HR(員工身份),IAM角色。
行動:主機隔離(EDR)、鎖定IP/ASN/JA3、臨時召回令牌/會話、強制輪換秘密、禁止退款/凍結獎金。
Gward Rails:對於關鍵動作-雙因素應用;TTL鎖定。
SOC進程
1.三元組:上下文檢查,重復數據消除,與TI匹配,ATT和CK的主要分類。
2.調查:文物收集(PCAP/EDR/logi),假設,時間線,損害評估。
3.Containment/Eradication:隔離、密鑰/令牌召回、修補、鎖定。
4.恢復:清潔控制,輪換,重復監測。
5.RCA/教訓:事後事件,規則/行列更新,添加測試案例。
調諧和檢測質量
新規則的陰影模式:計數但不阻止。
Regression pack: CI規則測試的「好/壞」事件庫。
FP恢復:路徑/角色/ASN例外;「邪惡默認」規則僅在金絲雀之後。
漂移監測:改變基本活動→調整閾值/模型。
Dashbords和評論
操作:主動Alert,P1/P2,攻擊圖(geo/ASN),「top talkers」,TI匹配磁帶。
戰術:ATT和CK覆蓋,FP/FN趨勢,MTTD/MTTC,「噪音」來源。
業務:按產品/地區分列的事件,對KPI的影響(轉換,時間到錢包,付款故障)。
存儲、隱私和合規性
重組:「溫暖」博客至少90天,≥需要的1年存檔(fintech/監管機構)。
PII/保密:令牌/掩碼,角色訪問,加密。
法律要求:事件報告,決策鏈存儲,時鐘一致性(NTP)。
紫色團隊和塗層檢查
威脅狩獵:關於TTP(例如PowerShell T1059)的假設,SIEM的臨時查詢。
紫色團隊:Red+Blue聯合沖刺-啟動TTP,檢查觸發器,完善規則。
探測器自動測試:非探測器和「影子」探測器中的定期重新播放參考事件(原子測試)。
iGaming/fintech的細節
關鍵域:登錄/註冊,存款/結算,促銷,訪問PII/fin。報告。
情景:ATO/credential stuffing, card testing,獎金處理,內幕付款訪問。
規則:在「/login」,「/withdraw」,等效性和HMAC webhooks,mTLS到PSP,用於訪問PAN/PII表的檢測。
業務觸發因素:付款故障/充電包急劇增加,轉換異常,「零」存款激增。
運行手冊示例(縮寫)
P1: 確認的ATO和提款
1.SOAR阻止會議,召回refresh令牌,凍結結論(TTL 24小時)。
2.通知產品/財務所有者;啟動密碼reset/2FA-rebind。
3.通過設備/IP/ASN圖檢查相鄰的帳戶;按群集擴展塊。
4.RCA:添加重復檢測,在「/withdraw」上增強速度閾值。
P2: 服務器上的Execyush (T1059)
1.EDR隔離,內存/工件移除。
2.最新解密/秘密清單;按鍵旋轉。
3.IOC狩獵艦隊;在DNS/Proxy中驗證C2。
4.後事件:Sysmon/Linux審核的「Parent=nginx → bash」+Sigma規則。
經常出錯
SIEM過載噪聲而無需歸一化和TTL。
ATT&CK上的無模擬檢測→「盲點」。
沒有SOAR/富集-長的MTTA,手動程序。
忽略UEBA/行為-跳過「緩慢」的內部人員。
沒有TTL的硬全局TI塊→切斷業務流量。
沒有回歸規則測試。
實施路線圖
1.記錄清單和規範化(ECS/CEF),「最小集合」。
2.ATT&CK塗層矩陣和高風險基本檢測。
3.SLO和隊列:P1-P4,呼叫和升級。
4.SOAR花花公子:豐富,集群作用,TTL塊。
5.UEBA和風險評分:輪廓,異常,漂移監測。
6.紫色團隊/檢測測試:陰影模式,金絲雀,回收包。
7.報告和合規性:重建,隱私,商業行車記錄儀。
結果
成熟的SOC是完整的遙測+定性檢測+響應學科。將規則引入MITRE ATT&CK,在SOAR中實現濃縮和封裝自動化,測量SLO指標結果,在Purple Team中定期檢查覆蓋範圍-您的監控將抵禦噪音,快速應對實際威脅並支持業務指標。