AdityaBhatt3010/SOC-L1-Alert-Triage-From-Events-to-Real-Threat-Detection

GitHub: AdityaBhatt3010/SOC-L1-Alert-Triage-From-Events-to-Real-Threat-Detection

面向 SOC L1 分析师的安全运营实践教程,通过模拟 SIEM 环境训练告警分类、优先级划分与威胁验证的实战技能。

Stars: 1 | Forks: 0

# SOC L1 告警分类 —— 从事件到真实的威胁检测 🛡️ 在任何现代的 Security Operations Center (**SOC**) 中,告警都是安全监控的心跳。每一次可疑的登录、钓鱼邮件、恶意软件执行或数据泄露尝试,最终都会成为供分析师调查的告警。 本房间重点关注 **SOC L1 分析师** 如何执行告警分类、确定事件优先级,以及如何使用 SIEM 仪表板区分合法威胁和无害噪音。🚨 # Task 1 — 介绍 一名 SOC 分析师每天可能要处理数百条告警。如果没有进行适当的分类和优先级排序,关键攻击很容易被忽视。 本房间介绍了: * 告警生命周期 * 告警属性 * 优先级划分逻辑 * 分类工作流 * SOC 分析师职责 本房间中提供的仪表板模拟了真实的 SIEM 环境,分析师可在此环境中调查传入的告警。 # Task 2 — 事件与告警 在告警产生之前,必须首先发生一个事件。 示例: * 用户登录 * 文件下载 * PowerShell 执行 * VPN 连接 * 恶意软件执行 这些事件由以下系统记录日志: * 操作系统 * 防火墙 * 云提供商 * EDR 解决方案 然后,这些日志会被转发到以下平台: * SIEM * SOAR * EDR/NDR 仪表板 SOC 不会手动审查数以百万计的原始日志。相反,检测规则会将可疑活动转换为告警,以便分析师能够高效地进行调查。 ## 常见告警管理平台 | 解决方案 | 示例 | | --------- | -------------------------------- | | SIEM | Splunk ES, Elastic | | EDR/NDR | Microsoft Defender, CrowdStrike | | SOAR | Cortex SOAR, Splunk SOAR | | ITSM | Jira, TheHive | ## SOC L1 职责 SOC L1 分析师: * 审查告警 * 验证可疑活动 * 将误报与真实威胁区分开 * 将确认的攻击升级给 L2 团队 L2 分析师: * 执行深入调查 * 遏制并修复攻击 SOC 工程师: * 改进检测逻辑 * 确保告警包含有用的上下文 SOC 经理: * 跟踪分析师的效率和响应质量 ## 枚举仪表板告警 我们首先访问了 SIEM 仪表板,并查看了队列中存在的活动告警。这有助于分析师了解传入的威胁和当前的工作负载分布。 仪表板显示有 5 个活动告警等待分类。 ![1](https://static.pigsec.cn/wp-content/uploads/repos/cas/d8/d87da0ca6f6b2350e6578f68bcac47f93d70ffe3bba8c6adf2ab7b78544d7411.png) # Task 3 — 告警属性 每个告警都包含调查所需的重要元数据。 ## 重要的告警字段 | 属性 | 用途 | | ---------- | ----------------------------- | | Alert Time | 告警触发的时间 | | Alert Name | 可疑活动的摘要 | | Severity | 威胁的严重程度 | | Status | 调查进度 | | Verdict | True Positive 或 False Positive | | Assignee | 负责的分析师 | | Description| 检测逻辑的说明 | | Fields | 技术证据和指标 | ## 调查示例 本房间包含一个名为以下内容的告警: 虽然这最初看起来很可疑,但调查确认这是一次合法的登录,因此它是一个 **False Positive**。 涉及的用户是: ``` M.Clark ``` 这说明了为什么分析师必须在升级事件之前验证上下文。许多合法活动可能与恶意行为相似。 # Task 4 — 告警优先级划分 SOC 分析师不能随意挑选告警。 适当的优先级划分可确保首先调查危险的威胁。 ## 标准优先级划分工作流 ### 1. 过滤现有分配 通过检查是否已有其他分析师拥有该告警,来避免重复调查。 ### 2. 按严重程度排序 Critical 告警会立即得到关注,因为它们通常表明存在主动的破坏或重大影响。 优先级顺序: ``` Critical → High → Medium → Low ``` ### 3. 按时间排序 较旧的告警会在较新的告警之前得到调查,因为攻击者可能已经在更深地渗透到环境中。 ## 分配最高优先级的告警 我们选择了最高优先级的告警,并将其状态更改为: ``` In Progress ``` 选中的告警是: ``` Potential Data Exfiltration ``` 数据泄露告警非常危险,因为它们可能表明攻击者正在从网络中窃取敏感的公司信息。 # Task 5 — 告警分类 这是核心的 SOC 工作流,分析师在此工作流中验证可疑活动是恶意的还是良性的。 # 初始行动 在开始调查之前,分析师应该: * 将告警分配给自己 * 将状态更改为 `In Progress` * 查看告警描述 * 识别关键指标 这样可以防止混淆,并确保在调查过程中责任明确。 # 调查方法论 在分类期间,分析师应该: 1. 识别受影响的系统/用户 2. 了解可疑活动 3. 审查相关的日志/事件 4. 使用威胁情报验证指标 一些 SOC 提供: * Playbook * Runbook * 调查指南 这些可以使调查标准化,并减少分析师的错误。 # 首要优先级告警调查 第一个高优先级告警涉及可疑的数据传输活动,类似于潜在的数据泄露。 在调查期间,周围的活动表明该行为与大量的 Zoom 使用有关,而不是恶意的窃取数据。 收到的最终 flag: 这突出了 SOC 的一个重要教训: 巨大的网络流量并不总是等于恶意的数据泄露。上下文很重要。📊 ![2](https://static.pigsec.cn/wp-content/uploads/repos/cas/43/43d9fb191c736e05d647dfb4274b500154d58f95f14c6384d5c2957ccc354b55.png) # 第二优先级告警调查 第二个告警涉及可疑的钓鱼相关行为。 调查证实,用户与恶意的钓鱼尝试进行了交互,使其成为一个合法的安全问题。 最终 flag: 钓鱼仍然是最成功的攻击向量之一,因为即使接受了安全意识培训,用户仍然可能成为受害者。 ![3](https://static.pigsec.cn/wp-content/uploads/repos/cas/62/62d8c7c909e6c38859ca5f2743cfccb4ac9c75ef870fa7e332d3b98c10572578.png) # 第三优先级告警调查 第三个告警涉及可疑的 GitHub 相关活动。 乍一看,下载或连接到 GitHub 可能看起来有风险,因为攻击者经常在那里托管 payload。然而,开发人员每天都会合法地使用 GitHub。 调查得出结论,该活动是合法的开发者行为。 最终 flag: 这展示了另一个关键的 SOC 挑战: 开发者活动经常与攻击者的攻击技术重叠,从而增加了误报。💻 ![4](https://static.pigsec.cn/wp-content/uploads/repos/cas/2e/2ead23c4ca5ad58e388efee66c8e47fd0977b16ab48ceaeafceb0e251a940597.png) # 总结 本房间为真实的 SOC 告警处理工作流提供了一个极好的介绍。 关键要点: * 告警源于可疑的日志事件 * 在繁忙的 SOC 环境中,优先级划分至关重要 * 并非每个可疑事件都是恶意的 * 结合上下文的调查必不可少 * 适当的分类可防止升级疲劳 对于刚进入蓝队或 SOC 运营的初学者来说,了解告警分类是基础前提知识,然后才能进入以下领域: * Incident response * Threat hunting * Detection engineering * Malware analysis * DFIR # 结论 SOC 告警分类不仅仅是在 SIEM 仪表板中点击按钮。它是一个分析思考、上下文验证和风险评估的过程。 一名优秀的 L1 分析师需要学会如何: * 保持条理性 * 仔细调查 * 避免假设 * 仅升级已验证的威胁 即使是看起来简单的告警,也可能揭露重大的破坏——或者最终被证明是无害的业务活动。 正是这种平衡,使得 SOC 运营既具有挑战性又至关重要。🔍🔥
标签:SOC分析, 告警分诊, 子域枚举, 安全运营, 扫描框架, 混合加密, 网络安全, 蓝队防御, 隐私保护