Перейти до змісту

Глосарій SOC / SIEM

Кому це: всім, хто працює зі стеком або читає документацію. Швидка довідка по термінах — не підручник.

Операційний центр та платформи

SOC (Security Operations Center) — Центр безпекових операцій

Команда + процеси + інструменти, що 24/7 моніторять інфраструктуру на загрози. У нашому стеку: весь SIEM cluster (Wazuh, TheHive, Cortex, MISP, CrowdSec, Velociraptor, Shuffle).

SIEM (Security Information and Event Management) — Система управління подіями безпеки

Збирає логи з усіх джерел, корелює, генерує alert'и. У нашому стеку: Wazuh (Manager + Indexer + Dashboard).

SOAR (Security Orchestration, Automation and Response) — Оркестрація та автоматизація реагування

Автоматизує рутинні дії SOC: alert прийшов -> enrichment -> block -> notification — без ручного втручання. У нашому стеку: Shuffle (deployed, playbook'и ще не написані; зараз custom scripts замість нього).

TIP (Threat Intelligence Platform) — Платформа розвідки загроз

Каталог відомих шкідливих IP, доменів, хешів, URL. Синхронізується з CERT-UA та іншими фідами. У нашому стеку: MISP.

DFIR (Digital Forensics & Incident Response) — Цифрова форензика та реагування на інциденти

Глибокий аналіз скомпрометованих машин: збір артефактів, memory dump, timeline reconstruction. У нашому стеку: Velociraptor (сервер deployed, клієнти ще ні).

Детекція та захист ендпоінтів

EDR (Endpoint Detection and Response) — Детекція та реагування на ендпоінтах

Агент на кожному хості: збирає телеметрію, детектить загрози, може ізолювати машину. У нашому стеку: Wazuh Agent (35 active) виконує роль EDR-light (FIM, SCA, vuln detection, active response).

XDR (Extended Detection and Response) — Розширена детекція та реагування

EDR + мережева телеметрія + cloud + email — все в одній кореляції. У нашому стеку: наближаємось до XDR коли додамо Suricata (NIDS) поверх Wazuh (host-based).

NIDS / IDS (Network Intrusion Detection System) — Мережева система виявлення вторгнень

Аналізує мережевий трафік на підозрілі патерни (exploit'и, C2 комунікації, DNS tunneling). У нашому стеку: Suricata (заплановано, Tier 3 roadmap — потребує SPAN port).

Threat Intelligence

IOC (Indicator of Compromise) — Індикатор компрометації

Конкретна ознака атаки: шкідлива IP-адреса, домен, хеш файлу, URL. У нашому стеку: зберігаються в MISP, перевіряються через Cortex analyzers.

TTP (Tactics, Techniques, Procedures) — Тактики, техніки, процедури

Фреймворк MITRE ATT&CK: не "що" (IOC), а "як" атакує противник. Наприклад: T1110 Brute Force, T1059 Command-Line Interface. Wazuh rules маплять alert'и на конкретні TTP.

TLP (Traffic Light Protocol) — Протокол світлофора

Маркування конфіденційності threat intel: RED (тільки для отримувача), AMBER (обмежене коло), GREEN (спільнота), WHITE (публічно). Використовується в MISP events та TheHive cases.

PAP (Permissible Actions Protocol) — Протокол дозволених дій

Що можна робити з отриманим IOC: RED (тільки дивитись), AMBER (пасивна перевірка), GREEN (активне сканування). Супроводжує TLP у MISP / TheHive.

SOC Workflow

IR (Incident Response) — Реагування на інциденти

Процес від виявлення загрози до її усунення: triage -> containment -> eradication -> recovery -> lessons learned.

Alert — Сира тривога

Сповіщення від SIEM, яке ще НЕ підтверджене як реальна атака. Може бути шумом (FP). У нашому стеку: Wazuh генерує -> TheHive приймає в чергу -> Tier 1 робить triage.

Case — Підтверджений інцидент

Alert, який пройшов triage і визнаний реальним. Має assignee, tasks, observables, вердикт. У нашому стеку: створюється в TheHive кнопкою "Import" з alert'а.

Triage — Первинне сортування тривог

Швидка оцінка alert'а: реальне чи шум, критичне чи low-risk. Основна робота Tier 1 аналітика. Ціль: < 15 хв на alert.

FP / TP (False Positive / True Positive) — Хибнопозитивний / Справжньопозитивний

FP = тривога спрацювала, але загрози нема (шум). TP = тривога спрацювала і загроза реальна. FP rate > 50% = правила Wazuh потребують tuning.

Observable / Artifact — Об'єкт спостереження

Конкретна сутність з alert'а або case'а: IP-адреса, домен, hash файлу, URL, email. У нашому стеку: відображаються в TheHive, збагачуються через Cortex.

Автоматизація та інструменти

Analyzer — Аналізатор (read-only перевірка)

Модуль Cortex, що перевіряє observable у зовнішніх сервісах (VirusTotal, AbuseIPDB, MISP) і повертає вердикт. Не змінює нічого — тільки читає. У нашому стеку: Cortex analyzers.

Responder — Респондер (write-дія)

Модуль Cortex, що виконує активну дію: забанити IP, disable user, ізолювати хост. У нашому стеку: responders ще не налаштовані (active response йде через Wazuh / CrowdSec).

Playbook — Плейбук

Фіксована послідовність кроків для реагування на певний тип інциденту. Наприклад: "brute force detected -> enrich IP -> check MISP -> ban if toxic -> notify Teams". У нашому стеку: мають бути в Shuffle (поки що реалізовані як custom scripts).

Hunt — Полювання на загрози

Проактивний пошук прихованих загроз, які не тригернули alert. Tier 3 / Threat Hunter запускає hunt по всіх хостах. У нашому стеку: Velociraptor (коли будуть клієнти).

Active Response — Автоматична реакція

Wazuh автоматично виконує дію при тригері rule: block IP через iptables, kill процес, disable user. У нашому стеку: Wazuh active response + CrowdSec decisions -> FortiGate DROP.

Метрики SOC

MTTD (Mean Time To Detect) — Середній час виявлення

Від моменту атаки до появи alert'а. Ціль: < 5 хв.

MTTR (Mean Time To Respond/Remediate) — Середній час реагування

Від alert'а до повного усунення загрози. Включає triage + investigation + containment + eradication.

Wazuh-специфічні терміни

CDB (Constant Database) — Константна база даних Wazuh

Key-value сховище для швидких lookups: "чи є ця IP у threat feed?". Формат: plain text файл, рядок = key:value. Використовується для MISP -> Wazuh IoC синхронізації.

FIM (File Integrity Monitoring) — Моніторинг цілісності файлів

Wazuh Agent відстежує зміни критичних файлів (/etc/passwd, конфіги, бінарники). Зміна = alert.

SCA (Security Configuration Assessment) — Оцінка безпекової конфігурації

Wazuh Agent перевіряє хост на відповідність baseline (CIS benchmarks): чи ввімкнений firewall, чи пароль root не "password", чи SSH дозволяє тільки ключі.

Ролі SOC

L1 / L2 / L3 (Tier 1 / 2 / 3) — Рівні SOC аналітиків

  • Tier 1 — Triage analyst. Сортує alert'и: реальне/шум. Не розслідує глибоко. Ціль: швидко.
  • Tier 2 — Incident analyst. Розслідує case'и від Tier 1. Глибший аналіз, кореляція, containment.
  • Tier 3 — Threat hunter / Senior analyst. Проактивний пошук загроз (hunt), форензика, rule tuning, malware analysis.

Останнє оновлення: 2026-04-16.