O čo ide?
Alert je základný koncept každého SOC tímu — správne zvládnutie alertov rozhoduje medzi odhaleným a zmeškaným útokom.
Od Eventov k Alertom
Predstav si situáciu:
Si SOC intern, pozeráš sa na monitor mentora a vidíš stovky alertov — "Email Marked as Phishing", "Unusual Gmail Login Location" a hrozivý "Unapproved Mimikatz Usage" v červenom stĺpci.
Ako vznikne alert:
Nastane event (login, spustenie procesu, stiahnutie súboru)
Systém to zaloguje (OS, firewall, cloud)
Logy sa posielajú do SIEM / EDR
Bezpečnostné riešenie vygeneruje alert — upozornenie na podozrivú aktivitu
💡 Bez alertov by analytici museli ručne prechádzať milióny logov denne. Vďaka alertom riešia len desiatky upozornení.
Platformy na správu alertov:
TypPríkladySIEMSplunk ES, ElasticEDR/NDRMS Defender, CrowdStrikeSOARSplunk SOAR, CortexITSMJira, TheHive
Roly v SOC tíme:
L1 analytik — triaguje alerty, oddeľuje hrozby od falošných poplachov
L2 analytik — hlbšia analýza eskalovaných alertov
SOC engineer — zabezpečuje kvalitu alertov
SOC manager — sleduje rýchlosť a kvalitu triáže
What is the number of alerts you see in the SOC dashboard?
5
What is the name of the most recent alert you see?
Double-Extension File Creation
Vlastnosti alertov (Alert Properties)
Alert obsahuje niekoľko kľúčových vlastností:
Čas alertu – kedy bol alert vytvorený (zvyčajne pár minút po skutočnej udalosti)
Názov alertu – stručný popis toho, čo sa stalo (napr. Unusual Login Location, RDP Bruteforce)
Závažnosť – urgentnosť alertu: Nízka / Stredná / Vysoká / Kritická
Stav – či niekto na alerte pracuje: Nový / V riešení / Uzavretý
Verdikt – či ide o skutočnú hrozbu (True Positive) alebo planý poplach (False Positive)
Pridelený analytik – kto je zodpovedný za preskúmanie alertu
Popis – vysvetľuje logiku pravidla, prečo aktivita môže naznačovať útok a ako triážovať
Polia alertu – konkrétne hodnoty, na ktorých alert vypol (napr. názov počítača, zadaný príkaz)
What was the verdict for the "Unusual VPN Login Location" alert?
False PositiveWhat user was mentioned in the "Unusual VPN Login Location" alert?
M.Clark
Prioritizácia alertov v SOC
Keď analytik čelí stovkám alertov, musí rýchlo rozhodnúť, ktorý riešiť ako prvý. Postup je jednoduchý:
- Filtrovanie – Vylúč alerty, ktoré už niekto rieši alebo boli preskúmané. Pracuj len s novými, nevyriešenými alertmi.
- Triedenie podľa závažnosti – Najprv critical, potom high, medium a nakoniec low. Platí, že čím vyššia závažnosť, tým väčšia pravdepodobnosť reálnej hrozby s vážnym dopadom.
- Triedenie podľa času – Pri alertoch rovnakej závažnosti začni od najstarších. Útočník zo staršieho incidentu je pravdepodobne ďalej v útoku a spôsobuje väčšie škody ako ten, kto práve začal.
Should you first prioritise medium over low severity alerts? (Yea/Nay)
YeaShould you first take the newest alerts and then the older ones? (Yea/Nay)
NayAssign yourself to the first-priority alert and change its status to In Progress.
The name of your selected alert will be the answer to the question.
Potential Data Exfiltration
Alert Triage – postup
Úvodné kroky – Priraď si alert na seba a zmeň jeho stav na In Progress. Oboznám sa s názvom, popisom a kľúčovými indikátormi alertu.
Investigácia – Najnáročnejšia časť. Niektoré tímy majú pripravené workbooky (playbooks/runbooks) s návodom pre konkrétne typy alertov. Bez nich platia tieto odporúčania:
Zisti, kto je ohrozený – používateľ, hostname, sieť, cloud alebo webstránka
Identifikuj podozrivú akciu – prihlásenie, malvér, phishing a pod.
Preskúmaj okolité udalosti – čo sa dialo tesne pred a po alerte
Over závery pomocou threat intelligence platforiem
Záverečné kroky – Rozhodni, či je alert skutočná hrozba (True Positive) alebo planý poplach (False Positive). Napíš podrobný komentár s postupom a zdôvodnením verdiktu, a alert presuň do stavu Closed.
Which flag did you receive after you correctly triaged the first-priority alert?
THM{looks_like_lots_of_zoom_meetings}Which flag did you receive after you correctly triaged the second-priority alert?
THM{how_could_this_user_fall_for_it?}Which flag did you receive after you correctly triaged the third-priority alert?
THM{should_we_allow_github_for_devs?}
Top comments (0)