SOC: ארגז הטכנולוגיות של איש SOC

SOC: ארגז הטכנולוגיות של איש SOC

כמו שרופא זקוק לסטטוסקופ, מד לחץ דם ומכשירים נוספים כדי לאבחן מטופלים, כך גם אנשי SOC צריכים כלים ייעודיים כדי לזהות, לנתח ולהגיב לאיומי סייבר:

SIEM - "מרכז העצבים" של ה-SOC

מערכת SIEM (Security Information and Event Management) היא הכלי המרכזי בכל SOC. אם נמשיך בדימוי הרפואי, SIEM הוא כמו מוניטור בחדר ניתוח שמציג את כל הסימנים החיוניים של המטופל בו-זמנית.

ה-SIEM אוסף אירועים ולוגים מכל מערכות המחשוב והרשת בארגון, מנתח אותם בזמן אמת, ומזהה דפוסים חשודים. הוא מאפשר לצוות ה-SOC לראות את התמונה המלאה של מצב האבטחה בארגון.

לדוגמה, מערכת SIEM יכולה לזהות שמשתמש ניסה להתחבר למערכת ונכשל 10 פעמים ברציפות (מה שעלול להצביע על ניסיון פריצה), או שקובץ מסוים ברשת הארגונית משתנה בתדירות חריגה (מה שעלול להצביע על נוזקה).

מערכות SIEM נפוצות כוללות Splunk, IBM QRadar, ArcSight, ו-LogRhythm. כמתחיל בתחום, כדאי להכיר לפחות אחת מהן.

EDR - השומר של המחשבים האישיים

מערכות EDR (Endpoint Detection and Response) הן כמו שומרים אישיים לכל מחשב ושרת בארגון. הן מנטרות פעילות ברמת התחנה הבודדת, מזהות התנהגות חשודה, ומאפשרות לצוות ה-SOC להגיב במהירות.

למשל, אם פתאום תוכנה מנסה לשנות הגדרות מערכת קריטיות או להריץ קוד זדוני, מערכת ה-EDR תזהה זאת ותתריע, ואף עשויה לחסום את הפעולה באופן אוטומטי.

מוצרי EDR מובילים כוללים את CrowdStrike Falcon, Carbon Black, SentinelOne, ו-Microsoft Defender for Endpoint.

כלי ניטור רשת (NDR)

כלים אלה עוקבים אחר התעבורה ברשת הארגונית ומזהים תקשורת חשודה. זה כמו מצלמות אבטחה שמנטרות מי נכנס ויוצא מהבניין, ומה הם נושאים איתם.

לדוגמה, אם פתאום יש תקשורת רבה לשרת לא מוכר בחו"ל, או אם מחשב מסוים שולח כמויות גדולות של נתונים החוצה, כלי הניטור יזהו זאת ויתריעו.

כלים נפוצים בקטגוריה זו כוללים Zeek (Bro), Wireshark (לניתוח), Darktrace, ו-ExtraHop.

Threat Intelligence - המודיעין של עולם הסייבר

כלי Threat Intelligence מספקים מידע על איומים קיימים ומתפתחים. זה כמו לקבל התראות ממשרד הבריאות על התפרצויות מחלות או איומים בריאותיים חדשים.

כלים אלה עוזרים לצוות ה-SOC להתעדכן בשיטות תקיפה חדשות, גורמי תקיפה ידועים, ופגיעויות במערכות שונות. ידע זה מאפשר לצוות להיות מוכן טוב יותר להתגונן מפני איומים חדשים.

פלטפורמות Threat Intelligence נפוצות כוללות את VirusTotal, AlienVault OTX, IBM X-Force Exchange, ו-MISP.

פלטפורמות SOAR - אוטומציה לתהליכי תגובה

SOAR (Security Orchestration, Automation and Response) הן מערכות שמאפשרות לאוטומט תהליכי תגובה לאירועי אבטחה. זה כמו לתכנת את הרובוט הרפואי לבצע פעולות מסוימות באופן אוטומטי כאשר מזוהים סימנים מסוימים.

למשל, אם מזוהה מחשב נגוע בתוכנה זדונית, מערכת ה-SOAR יכולה באופן אוטומטי לבודד אותו מהרשת, לשלוף את הלוגים הרלוונטיים, ואפילו להתחיל תהליך ניקוי – כל זאת ללא התערבות אנושית.

מערכות SOAR מובילות כוללות את Palo Alto Networks Cortex XSOAR, Splunk Phantom, ו-ServiceNow SecOps.

כלים בסיסיים נוספים: 

• מלבד המערכות הגדולות, יש גם כלים בסיסיים שכל איש SOC משתמש בהם יום-יום. כמתחיל בתחום, אל תצפה לשלוט בכל הכלים הללו מייד. התחל בהכרת העקרונות הבסיסיים של SIEM ו-EDR, והתקדם משם. רוב החברות מספקות הדרכה ספציפית על הכלים בהם הן משתמשות.
• כלי ניתוח לוגים: לחקירה מעמיקה של אירועים חשודים
• מסדי נתונים של איומים: מאגרי מידע המכילים "חתימות" של תוכנות זדוניות ידועות
• כלי ויזואליזציה: להצגת נתונים ומגמות באופן גרפי, מה שמקל על זיהוי אנומליות
• מערכות ניהול אירועים (ticketing systems): לתיעוד ומעקב אחר אירועי אבטחה וטיפולם

מנין אוסף ה-SIEM מידע עבור ה-SOC

מערכת SIEM אוספת נתונים מכלל מערכות הארגון. היא מקבלת נתונים ממגוון טכנולוגיות בארגון – שרתים, תחנות קצה, חומות אש, מערכות אימות, ועוד. כל טכנולוגיה מייצרת לוגים (logs) שמתארים פעולות, שגיאות, גישות וחריגות, וה-SIEM מרכז אותם בזמן אמת לצורכי זיהוי איומים.

האיסוף מתבצע דרך סוכנים (agents), ממשקי API, פרוטוקולי העברת לוגים כמו Syslog, מנגנוני Windows Event Collection, או קונקטורים ייעודיים. הנתונים מנורמלים לפורמט אחיד, מועשרים במידע הקשרי, ומוזנים למנועי הניתוח והקורלציה לזיהוי איומים.

מקורות נתונים טיפוסיים עבור SIEM:

1. Active Directory (AD): מספק לוגים על התחברויות, ניסיונות כושלים, שינויים בהרשאות ופעילויות משתמשים – קריטי לזיהוי פעילויות חריגות או גנבת זהויות.
2. Firewall / NGFW (חומת אש): מספקת מידע ("לוגים") על תעבורת רשת, חיבורים נכנסים ויוצאים, ניסיונות גישה חסומים וחיבורים לכתובות IP או פורטים חשודים, וחריגות בפרוטוקולים – משמש כשכבת הגנה ראשונה לארגון. הנתונים מועברים בדרך כלל דרך Syslog או API ייעודי.
3. Intrusion Detection/Prevention System (IDS/IPS): מזהה ניסיונות תקיפה לפי חתימות או אנומליות ברשת. מספק התראות על התקפות נפוצות כמו SQL Injection או Port Scanning.
4. מערכות הגנה מתקדמות בנקודות קצה Endpoint Detection and Response (EDR): שולח מידע מפורט על פעילויות בתחנות קצה – כולל הרצת תהליכים, הרצת קבצים חשודים, שינויים ברג'יסטרי, פעולות קבצים החשודות כזדוניות וניסיונות תקיפה. איסוף הנתונים מתבצע באמצעות סוכנים המותקנים על המחשבים.
5. Web Proxy / Secure Web Gateway: עוקב אחר תעבורת אינטרנט של המשתמשים – אתרים שנפתחו, חסימות, והפניות חשודות שעשויות להעיד על פישינג או תוכן זדוני.
6. Email Security Gateway: מדווח על מיילים עם קישורים זדוניים, קבצים מצורפים מסוכנים, ניסיונות התחזות או מתקפות פישינג – מקור קריטי להבנת תקיפות מבוססות דוא״ל.
7. שרתי אימות ומערכות IAM: מספקים נתונים על התחברויות משתמשים, ניסיונות כושלים, שינויי הרשאות וניהול זהויות. הנתונים נאספים דרך Windows Event Logs, LDAP או ממשקי ניהול ייעודיים.
8. VPN Gateway / Remote Access Logs: מתעד התחברויות מרחוק – כולל מיקום גאוגרפי, כתובת IP, שעת התחברות ומשך השימוש. משמש לזיהוי גישות חשודות מבחוץ.
9. Database Logs: מציין גישות למסדי נתונים, ביצוע שאילתות חריגות, או ניסיון שינוי לא מורשה. משמש בעיקר להגנה על מידע רגיש.
10. Cloud Service Logs (כגון Microsoft 365 / AWS CloudTrail): מספק נתונים על פעולות שבוצעו בסביבות ענן – התחברויות, יצירת משאבים, מחיקת נתונים ועוד. חיוני לארגונים מבוססי ענן.
11. Application Logs (ERP, CRM וכד'): לוגים מתוך מערכות ארגוניות קריטיות – מאפשרים לזהות גישה בלתי מורשית, שימוש חריג בפונקציות, או תקלות אבטחה פנימיות.
12. מערכות DLP (Data Loss Prevention): מדווחות על ניסיונות הוצאת מידע רגיש מהארגון והפרות מדיניות שמירת מידע. הנתונים מועברים דרך קונקטורים ייעודיים המסופקים על ידי יצרן הפתרון.