DEV Community

Cover image for THM - SOC L1 Alert Reporting
mikensen
mikensen

Posted on

THM - SOC L1 Alert Reporting

#soc #tryhackme #slovak #hacking

L1 analytici pri triage alertov niekedy nevedia presne klasifikovať alert, preto potrebujú pomoc seniora alebo vlastníka systému. Môžu tiež naraziť na reálne kyberútoky, ktoré vyžadujú rýchlu reakciu. Táto časť vysvetľuje reportovanie alertov, eskaláciu a komunikáciu.

Ciele:

  • pochopiť reportovanie a eskaláciu v SOC
  • naučiť sa písať komentáre a reporty k alertom
  • spoznať správne komunikačné postupy
  • precvičiť triage v simulovanom prostredí

Alert Funnel

L1 analytici dostávajú alerty v SIEM, EDR alebo ticket systéme.
Väčšina alertov je False Positive alebo sa vyrieši na L1.
True Positive a zložitejšie prípady sa eskalujú na L2.
Len malé množstvo skončí ako reálny incident (DFIR).

Dôležité pojmy

  1. Reporting – zdokumentovanie analýzy alertu a dôkazov (hlavne pri True Positive).
  2. Escalation – poslanie alertu na L2 analytika, ak treba ďalšie vyšetrovanie alebo zásah.
  3. Communication – komunikácia s inými tímami (napr. IT alebo HR) pre doplnenie informácií.

✅ Cieľ: aby L2 mal jasný report a kontext a nemusel začínať analýzu od nuly.

What is the process of passing suspicious alerts to an L2 analyst for review?
Alert Escalation

What is the process of formally describing alert details and findings?
Alert Reporting

Prečo písať report

Report od L1 analytika je dôležitý, pretože:

dáva kontext pre eskaláciu – L2 rýchlo pochopí situáciu

uchováva zistenia – alerty sa ukladajú dlhodobo, logy len 3–12 mesiacov

zlepšuje analytické schopnosti – vysvetlenie = lepšie pochopenie

Formát reportu (5W)

Pri reporte použi Five 'W':
Who – ktorý používateľ vykonal akciu
What – aká aktivita sa stala
When – kedy sa aktivita začala a skončila
Where – zariadenie, IP alebo web
Why – dôvod tvojho záveru (True / False Positive)

✅ Cieľ: aby L2 alebo DFIR tím rýchlo pochopil alert bez novej analýzy.

According to the SOC dashboard, which user email leaked the sensitive document?
m.boslan@tryhackme.thm
Looking at the new alerts, who is the "sender" of the suspicious, likely phishing email?
support@microsoft.com
Open the phishing alert, read its details, and try to understand the activity.
Using the Five Ws template, what flag did you receive after writing a good report?
Note: Do not change the status yet, fill in the Analyst Comment and click Save.
HM{nice_attempt_faking_microsoft_support}

Escalation Guide (SOC)

Po vyhodnotení alertu a napísaní reportu musí L1 analytik rozhodnúť, či je potrebná eskalácia na L2.

Kedy eskalovať alert

Alert sa eskaluje, ak:

  • naznačuje vážny kybernetický útok, ktorý vyžaduje hlbšiu analýzu alebo DFIR
  • sú potrebné remediačné kroky (odstránenie malvéru, izolácia hosta, reset hesla)
  • je nutná komunikácia s klientom, manažmentom, partnermi alebo autoritami
  • analytik nerozumie alertu a potrebuje pomoc seniornejšieho kolegu

Postup eskalácie

Väčšinou stačí:

  • Priradiť ticket L2 analytikovi na smene
  • Upozorniť ho v internom chate

Niektoré tímy však vyžadujú formálny eskalačný formulár s viacerými povinnými údajmi.

Čo robí L2

Po prijatí ticketu L2:
prečíta report od L1
overí, či ide o True Positive
pokračuje v detailnejšej analýze
komunikuje s ďalšími tímami
pri vážnych prípadoch spustí Incident Response proces
Požiadanie o pomoc

Ak si L1 nie je istý, je úplne v poriadku požiadať L2 o podporu. Najmä na začiatku je lepšie alert konzultovať než ho nesprávne uzavrieť.

Typický workflow v SOC nástroji

Presunúť alert do stavu In Progress
Vykonať analýzu
Napísať alert report a určiť verdikt
Ak treba, priradiť ticket L2
L2 dostane notifikáciu a pokračuje v investigácii.

Who is your current L2 in the SOC dashboard that you can assign (escalate) the alerts to?
E.Fleming
What flag did you receive after correctly escalating the alert from the previous task to L2?
Note: If you correctly escalated the alert earlier, just edit the alert and click "Save" again.
THM{good_job_escalating_your_first_alert}
Now, investigate the second new alert in the queue and provide a detailed alert comment.
Then, decide if you need to escalate this alert and move on according to the process.
After you finish your triage, you should receive a flag, which is your answer!

Krízová komunikácia v SOC

Eskalácia a reportovanie vyzerajú jednoducho, no v praxi sa často objavia nečakané situácie. Preto by mal mať SOC tím pripravené Crisis Communication postupy, ktoré určujú, ako reagovať v kritických prípadoch.

Typické komunikačné situácie

  1. Kritický alert a nedostupné L2
    Ak potrebujete eskalovať urgentný alert a L2 nereaguje viac ako 30 minút:
    skontrolujte núdzové kontakty
    skúste zavolať L2, potom L3
    ak stále nikto nereaguje, kontaktujte manažéra

  2. Kompromitovaný Slack / Teams účet
    Ak potrebujete overiť login používateľa:
    nekontaktujte ho cez kompromitovaný chat
    použite alternatívny spôsob komunikácie (napr. telefón)

  3. Veľké množstvo alertov naraz
    Pri náhlej vlne alertov:
    prioritizujte podľa závažnosti
    informujte L2 na smene, že dochádza k preťaženiu

  4. Neskoré zistenie chyby v klasifikácii
    Ak zistíte, že alert bol pravdepodobne zle vyhodnotený:
    okamžite kontaktujte L2
    vysvetlite situáciu a obavy
    útočníci môžu byť dlho neaktívni pred reálnym dopadom

  5. Problém so SIEM logmi
    Ak nie je možné dokončiť triage kvôli chýbajúcim alebo zle parsovaným logom:

  • alert neignorujte
  • analyzujte dostupné dáta
  • problém nahláste L2 alebo SOC inžinierovi

👉 Základné pravidlo: pri nejasnostiach alebo kritických situáciách vždy komunikovať a eskalovať skôr než neskôr.

Should you first try to contact your manager in case of a critical threat (Yea/Nay)?
nay
Should you immediately contact your L2 if you think you missed the attack (Yea/Nay)?
yea

Top comments (0)