Робочий процес SOC та ролі
Де SOC-персонал проводить час
90% часу — Wazuh Dashboard.
З Wazuh Dashboard аналітики бачать:
- Всі алерти в реальному часі
- Логи з усіх серверів та FortiGate
- Оцінки вразливостей
- Статус комплаєнсу
- Інвентаризацію підключених агентів
- Події моніторингу цілісності файлів (FIM)
- Події підключення USB
Коли куди йти
| Коли | Куди |
|---|---|
| Алерт потребує розслідування | TheHive — відкрити кейс |
| Підозрілий IP / хеш / файл | Cortex — автоперевірка (або з TheHive одним кліком) |
| Потрібні докази з конкретного ПК | Velociraptor — запустити хант |
| Перевірити публікації CERT-UA | MISP — нові IoC, фіди |
| Створити/змінити правило автоматизації | Shuffle — редагувати плейбук |
| Показати звіт директору | Grafana — дашборд для керівництва |
Типовий день SOC-аналітика
- Ранок — Відкрити Wazuh Dashboard, переглянути нічні алерти, відсортовані за серйозністю
- Тріаж — Critical та High алерти отримують негайну увагу; відкрити кейси в TheHive
- Розслідування — Використати Cortex для збагачення індикаторів (репутація IP, пошук хешів, аналіз доменів)
- Форензика — Якщо машина під підозрою на компрометацію, запустити хант у Velociraptor для збору артефактів
- Реагування — Заблокувати зловмисні IP через плейбук Shuffle або Wazuh Active Response
- Документування — Оновити кейс у TheHive з висновками, вжитими діями та результатом
- Звітність — В кінці дня/тижня: переглянути дашборди Grafana для трендів, підготувати зведення для керівництва
Ролі SOC
| Роль | Що робить |
|---|---|
| SOC Analyst L1 (Tier 1) | Моніторить дашборди, тріажить алерти, ескалює на L2 |
| SOC Analyst L2 (Tier 2) | Розслідує інциденти, аналізує артефакти, координує реагування |
| SOC Analyst L3 (Tier 3) | Threat hunting, аналіз малварі, глибока форензика |
| SOC Manager | Управляє командою, визначає процеси, звітує керівництву |
| Incident Responder | Реагує на активні інциденти, стримує та усуває загрози |
| Threat Intelligence Analyst | Працює з MISP, управляє фідами, курує IoC |
!!! note "Контекст Академії" Реалістично SOC Академії працює з двома ефективними ролями: SOC-аналітик (без розділення на тіри) та SOC-менеджер. Тірова структура вище — це галузевий стандарт для довідки.
Маршрутизація алертів
Основний канал комунікації: Microsoft Teams
Канали комунікації
| Канал | Призначення | Інструмент |
|---|---|---|
| SIEM Dashboard | Основне робоче місце аналітика | Wazuh Dashboard (відкритий весь день) |
| Тікет-система | Відстеження інцидентів від створення до закриття | TheHive (авто-створення через Shuffle) |
| Месенджер | Миттєві сповіщення про critical/high алерти | Microsoft Teams |
| Щоденні/щотижневі зведення, некритичні алерти | Email через Wazuh або Shuffle | |
| Телефон / SMS | P1-інциденти (злом, шифрувальник, витік даних) | Прямий дзвінок |
Схема маршрутизації алертів
Wazuh виявляє загрозу
│
▼
Shuffle SOAR
├── Critical → Teams НЕГАЙНО + кейс у TheHive
├── High → Кейс у TheHive + email-сповіщення
└── Medium/Low → Тільки кейс у TheHive (аналітик побачить вранці)
Визначення серйозності
| Серйозність | Час реагування | Приклади |
|---|---|---|
| Critical | Негайно (хвилини) | Активний злом, виконання шифрувальника, ексфільтрація даних |
| High | Протягом 1 години | Успішний brute force, виявлення малварі, ескалація привілеїв |
| Medium | Протягом 4 годин | Патерни невдалих логінів, порушення політик, підозрілий процес |
| Low | Наступний робочий день | Інформаційні події, незначні відхилення від політик |