ואצאפ

פרק 6: ניטור איומים, SIEM, SOAR ו-Threat Hunting

מערכות מידע ארגוניות עברו בשנים האחרונות טרנספורמציה עמוקה: מהתבססות על תשתיות מקומיות, שרתים פרטיים וציוד נפרד, למערכות מבוזרות, דינמיות ומרובות שכבות המבוססות על שירותי ענן ציבוריים, היברידיים ומולטי-קלאוד.

17/05/2025

פרק 6: ניטור איומים, SIEM, SOAR ו-Threat Hunting

מערכות מידע ארגוניות עברו בשנים האחרונות טרנספורמציה עמוקה: מהתבססות על תשתיות מקומיות, שרתים פרטיים וציוד נפרד, למערכות מבוזרות, דינמיות ומרובות שכבות המבוססות על שירותי ענן ציבוריים, היברידיים ומולטי-קלאוד. המעבר הזה, למרות יתרונותיו הברורים – ביצועים, גמישות, נגישות וחיסכון – חושף את הארגון למורכבויות אבטחה חדשות. בפרט, מתחדד הצורך בגישה חדשה לתחום ניטור האיומים, אשר תדע להתמודד עם סביבת תקיפה חמקנית, רציפה, חוצה גבולות ותשתיות.

מערכות SIEM (Security Information and Event Management) היו ועודן עמוד השדרה של מערך ניטור אבטחת המידע, אך בעידן הענן הן ניצבות בפני אתגרים שלא נלקחו בחשבון באדריכלות המקורית: עומס לוגים מסיבי, סוגים חדשים של שירותים, חוסר אחידות בפורמטים, תשתיות שאינן בשליטת הארגון, וכן קושי בגישה ישירה למשאבים. לצד זאת, הפתרונות החדשים – דוגמת SOAR (Security Orchestration, Automation and Response), פתרונות UEBA (User & Entity Behavior Analytics), כלים מבוססי AI ו-ML, ופלטפורמות Threat Intelligence בענן – מציעים מענה מדויק יותר, יעיל יותר, ובעיקר – אוטומטי יותר, לכל תרחיש מודרני.

ניטור איומים כיום אינו מתמקד עוד בזיהוי חתימות (Signatures) או ניתוח אירועי אבטחה בודדים, אלא בחיפוש אחר תבניות מורכבות של תקיפה (TTPs – Tactics, Techniques and Procedures), בקרת הרשאות, הקשרים בין פעולות, חריגות התנהגותיות ואינדיקטורים שאינם מוגדרים מראש. לכן, הצוותים אינם יכולים להסתפק רק ב-SOC תפעולי – עליהם ליישם אסטרטגיה מקיפה הכוללת גם ציד איומים (Threat Hunting), בניית Use Cases ספציפיים, ניטור מבוזר, ואנליטיקה מבוססת מודיעין.

מטרת פרק זה היא להעניק לאנשי IT – עם ותק של שנה עד עשר שנים – סקירה מעמיקה ועדכנית של כלים, טכניקות, אסטרטגיות ומתודולוגיות לניטור איומים בענן. נציג עקרונות תכנוניים, דגשים לבחירת כלים, דוגמאות טכניות ליישום Use Cases, והתייחסות לתהליכים משלימים כמו תגובה לאירועים (IR), תחקור (Forensics), זיהוי אנומליות ולמידת מכונה.

1. אסטרטגיות איסוף לוגים ואנליזה מבוזרת

הבסיס לכל תהליך ניטור איכותי טמון באיסוף מדויק, שלם ונקי של לוגים – ללא מידע, אין נראות; ללא נראות, אין ניטור; וללא ניטור – אין אבטחה. במערכות ענן, האתגר מורכב במיוחד, שכן מקורות הלוגים אינם אחידים, לעיתים נגישים רק דרך API, ונמצאים תחת מגבלות רגולציה (כגון GDPR, ISO 27001, HIPAA ועוד).

בענן, מקורות הלוגים כוללים בין היתר:

  • שירותי מחשוב (EC2, Azure VM, GCP Compute Engine)
  • אחסון (S3, Azure Blob, Google Cloud Storage)
  • שירותי IAM והרשאות (IAM, Azure AD, Cloud Identity)
  • API Gateways ו-Load Balancers
  • שירותי SaaS (M365, Salesforce, Zoom, Atlassian)
  • Kubernetes (EKS, AKS, GKE) ולוגי קונטיינרים

שיטות איסוף עיקריות:

  1. Agent-based: התקנת Agent על השרת/מכונה (למשל Fluentd, Beats, Sysmon)
  2. Agentless Pull: שאיבת לוגים דרך API (למשל CloudWatch Logs API, Azure Monitor API)
  3. Push-Based: שליחת לוגים למאזין חיצוני: לרוב באמצעות Syslog, HTTP או Event Hub
  4. Log Forwarding Native: שירותים כמו AWS Kinesis Firehose או Azure Event Grid שמעבירים אוטומטית לוגים ל-SIEM

המלצות לתכנון:

  • בצע מיפוי מלא של כלל מקורות האירועים, כולל שירותים "שקטים".
  • תקנן את הפורמטים (CEF, JSON, LEEF, Syslog) באמצעות מנוע ETL או פרוססור כמו Logstash, Cribl או Fluent Bit.
  • בצע Enrichment (הוספת הקשר) על הלוגים – כגון מיקום גיאוגרפי, תיוג עסקי, רמת קריטיות.
  • נהל Data Retention לפי רגולציה ומדיניות פרטיות.

אחת השיטות המומלצות למניעת עומס היא שימוש בפרדיגמה של Data Tiers: לא כל הלוגים צריכים להישמר או לעבור עיבוד בזמן אמת. ניתן למיין לוגים לפי רמת סיכון או שימוש פוטנציאלי.

 

2. בניית Use Cases אפקטיביים לזיהוי תקיפות ותחקור בענן

בענן, לוגים הם רק חומר הגלם. Use Case מגדיר כיצד הופכים את המידע הזה לזיהוי תרחיש תקיפה רלוונטי. תהליך נכון של בניית Use Cases מאפשר לארגון לעלות מדרגה בזיהוי מוקדם של תקיפות, ולמנוע את התלות בזיהוי מבוסס חתימה בלבד.

בענן, התשתיות דינמיות, גישה לקבצים יכולה להשתנות בין דקות, והרשאות משתנות באופן תדיר – לכן, על כל Use Case להיות תלוי הקשר (Context-Aware) ומותאם לארכיטקטורת הענן הספציפית של הארגון.

שלבים לבניית Use Case מוצלח:

  1. הגדרת תרחיש (Scenario): לדוגמה: גישה לא מורשית ל-S3 Bucket מחוץ לארגון.
  2. זיהוי מקורות לוגים: במקרה זה: CloudTrail, VPC Flow Logs, IAM Logs.
  3. כתיבת תנאים לוגיים (Detection Rule): חיפוש כתובת IP שאינה שייכת לרשימת הכתובות המותרות.
  4. הקשר עסקי: האם מדובר בנתונים רגישים? מי המשתמש הגורם?
  5. תגובה צפויה: שליחת Alert, פתיחת אירוע, ביצוע Isolation.

דוגמאות ל-Use Cases נפוצים בענן:

  • גישה לקבצי S3 ממדינה זרה בפעם הראשונה ע״י משתמש פנימי.
  • הרצת פונקציית Lambda או Azure Function מחוץ לחלון התחזוקה.
  • שינוי בהרשאות IAM לקבוצת משתמשים ללא Change Request.
  • גישה ישירה לשירות SaaS (כמו Salesforce) ללא שימוש ב-VPN או CASB.
  • פתיחת פורט ציבורי לשירות Production על ידי Deployment אוטומטי.
  • הורדת קבצים בכמות גדולה תוך פרק זמן קצר על ידי משתמש רגיל.

Best Practices:

  • השתמשו במודל MITRE ATT&CK for Cloud למיפוי תרחישים לפי טקטיקות ו-TTPs.
  • דרגו את כל ה-Use Cases לפי: Impact, Detectability, ו-False Positive Rate.
  • כתבו Playbook תגובה לכל תרחיש – גם אם מדובר רק באימות ידני או פתיחת כרטיס.
  • בצעו בדיקות שוטפות של יעילות ה-Use Cases (Tuning) מול מקרי אמת ותרחישים מדומים.

קשר ל-SOC ו-SOAR:

Use Cases טובים מהווים את הבסיס לכל התראות ה-SOC. הם גם מזינים את ה-SOAR, שמגיב בהתאם להגדרות. לדוגמה: תרחיש שבו מתבצעת גישה חשודה ל-Azure Storage מפעיל Playbook שכולל השעיית משתמש, איסוף לוגים נוספים, ודיווח לרמת Tier-2 להמשך בדיקה.

Use Cases בסביבות מולטי-קלאוד:

כאשר הארגון משתמש ביותר מספק ענן אחד (למשל AWS ו-GCP), יש לבנות Use Cases משותפים (למשל: “גישה לא צפויה לאחסון”) תוך נרמול הלוגים והבנת מבנה ההרשאות בכל ענן בנפרד.

שגיאות נפוצות:

  • כתיבת Use Cases מבלי להתחשב בקונטקסט הארגוני (למשל תהליכי עבודה, מיקום משתמשים).
  • הסתמכות יתר על Templates או חוקים מובנים.
  • הפעלת יותר מדי Use Cases בו זמנית ללא Fine Tuning – מה שמוביל ל-False Positives רבים מדי, ועומס על האנליסטים.

סיכום:

Use Cases הם הלב של מערך הזיהוי. ככל שהם מדויקים יותר – כך ה-SOC יעיל יותר, ה-SOAR חכם יותר, והתגובה מהירה יותר. בניית Use Cases בענן דורשת ידע מעמיק בתשתיות, תהליכים, מודלים של תקיפה, והבנה של דפוסי פעילות תקינים.

 

3. שילוב בין SIEM מסורתי לכלי ניטור ענן

מערכות SIEM מסורתיות נבנו לעולם שבו עיקר תעבורת הרשת, האפליקציות והשרתים נוהלו מתוך תשתיות מקומיות. אך בעידן שבו מערכות קריטיות פועלות על שירותי ענן ציבוריים, היכולת של SIEM לאסוף, לנתח ולהגיב ללוגים מהענן – הופכת לאתגר תשתיתי, רגולטורי ותפעולי.

בפועל, רוב הארגונים משלבים בין מערכות On-Prem לבין שירותי ענן. לכן, נדרש שילוב נכון בין SIEM ארגוני מסורתי (כגון Splunk, QRadar, LogRhythm, ArcSight) לבין SIEM-ים מבוססי ענן (כגון Microsoft Sentinel, Google Chronicle, AWS Security Lake, Elastic Cloud).

אתגרי השילוב:

  • שוני במקורות המידע: לוגים מ-Azure AD, AWS CloudTrail או GCP Stackdriver אינם דומים ללוגי FW מקומיים.
  • שוני במבנה הלוגים: לוגים בענן נמסרים לרוב בפורמטים כמו JSON דרך API, בעוד לוגים מקומיים משתמשים ב-Syslog או WMI.
  • שוני בגישה ובבעלות: בענן – הלוגים זמינים רק אם הופעלו מראש, לעיתים לא נגישים למשתמשי SOC.
  • שוני בכלים ובשיטות תגובה: SOAR בענן מגיב באמצעות API או אוטומציות מובנות, ואילו מקומית נדרש ממשק מול ציוד פיזי.

אפשרויות לשילוב אפקטיבי:

  1. Forwarding דו-כיווני: חיבור SIEM מקומי לכלי SIEM בענן באמצעות Syslog Collector, REST API או Event Hub.
  2. Data Lake אחוד: שימוש בכלי אחסון מרכזיים (כגון Snowflake, S3, Azure Data Lake) לצריכת הלוגים מכל הסביבות.
  3. איחוד תצוגה (Federated Search): יצירת ממשק אחוד למערכות שונות – דרך Kibana, Power BI, או SIEM אחוד.
  4. Normalization Layers: שימוש בכלי ETL כמו Cribl Stream או Logstash לאיחוד מבנה הלוגים, תיקנון שמות שדות ותיוג לפי הקשר.

עקרונות לבחירת פתרון שילוב:

  • Latency: האם יש דיליי בין קליטת הלוג לאירוע?
  • רזולוציה: אילו פרטים נשמרים (IP, קונטקסט, קוד פעולה)?
  • עלות: האם העלות נגזרת מהיקף הלוגים או משירותי הענן?
  • רגולציה: איפה נשמר המידע? באיזה אזור גיאוגרפי?

תרחיש לדוגמה:

ארגון משתמש ב-Splunk מקומי עבור ניטור FW ו-AD, אך מקבל שירותי Azure ו-M365 מהענן. כדי לשלב: הוגדר Azure Sentinel שצורך את Audit Logs בענן, ומעביר באמצעות Event Hub את המידע ל-Splunk. כללים בשני הצדדים מתואמים לפי רמת קריטיות, והתראות נשלחות ל-SOAR משותף.

המלצות

  • מיפוי מקורות הלוגים: מה נאסף ע"י כל מערכת? האם יש חפיפה?
  • בדיקת כפל אחסון: האם נשמרים אותם נתונים פעמיים? (כפילות = בזבוז תקציבי).
  • הגדרת תפקידים ברורה: מי אחראי על כל SIEM? איך נראית תגובה לאירוע חוצה מערכות?
  • תחזוקה ועדכון שוטף: פרסרים משתנים, פורמטים מתעדכנים, שירותים חדשים מצטרפים.

סיכום

השילוב בין SIEM מסורתי לכלי ניטור ענן אינו מותרות – אלא תנאי הכרחי להשגת נראות מלאה בסביבה היברידית. נדרש תכנון מוקפד, בחירה בכלים הנכונים, ותחזוקה רציפה כדי לאחד את התצפית, הפענוח והתגובה של הארגון – לא משנה היכן פועל הנכס.

 

4. Forensics, Incident Response ו-Threat Intelligence בענן

בענן, תחקור אירועים ותגובה לתקריות (Incident Response) מתבצעים בתנאים שונים לגמרי מסביבות מקומיות. אין גישה פיזית לדיסק, אין אפשרות לנתק כבל רשת או לבצע Clone מיידי של שרת – ובמקום זאת, נדרש לעבוד עם ממשקי API, Snapshots, לוגים מבוזרים וחקירה בקצב הענן.

בנוסף, ניהול חקירות ואיסוף ראיות חייב להתבצע תוך שמירה על עקביות, שמישות משפטית (Chain of Custody), ועמידה במדיניות פרטיות ורגולציה.

Forensics בענן – אתגר ופתרון

אתגר: תוקפים פועלים בענן במהירות, דרך רכיבים זמניים, תוך ניצול הרשאות ועדכונים דינמיים. תחקור קלאסי (כמו ניתוח זיכרון או דיסק קשיח) אינו מעשי ברוב המקרים.

פתרונות:

  • Snapshots: צילום מהיר של VM או Instance (למשל ב-AWS EC2, Azure VM), לצורך ניתוח מאוחר.
  • Log Export: שליחת לוגים בזמן אמת למערכות חיצוניות (SIEM, Data Lake) לצורכי ניתוח היסטורי.
  • Session Replay: ב-WAF או Proxy, ניתן לעיתים לשחזר תנועת המשתמש (HTTP Playback).
  • Metadata Analysis: ניתוח תוויות IAM, Security Groups, Networking, ו-Cloud Configurations כחלק מהתחקור.

Incident Response בענן

תגובה לאירוע חייבת להיות מתוכננת מראש, ולשלב בין צוותי SOC, Cloud, DevOps ו-IT. מהלכים כמו ניתוק רכיב מהרשת, השעיית חשבון או מחיקת Token: חייבים להיעשות בזהירות כדי לא לפגוע בפעילות תקינה או לעורר את התוקף.

שלבי תגובה:

  1. זיהוי: קבלת התראה ממערכת ניטור (SIEM, XDR).
  2. אימות: הצלבת הלוגים, הבנת ההקשר, הערכת סיכון.
  3. תגובה ראשונית: ניתוק רכיב, חסימת API Key, הקפאת משתמש.
  4. תחקור מלא: שימוש בלוגים, Snapshots, חקירה ב-SOAR/XDR.
  5. תיקון: סגירת חולשה, שינוי הרשאות, עדכון כללי זיהוי.
  6. שיפור מתמשך: יצירת Playbook חדש, עדכון Use Cases.

שילוב Threat Intelligence

מודיעין סייבר משלים את הניטור והתגובה בענן ע"י הזנת מידע מהעולם החיצוני:

  • כתובות IP זדוניות (IOC)
  • Hashes של קבצים
  • דומיינים חשודים
  • אינדיקטורים התנהגותיים (TTPs) של קבוצות תקיפה (APT)

כלים נפוצים:

  • MISP (מערכת קהילתית להזנת ושיתוף מידע)
  • Threat Intelligence Platforms (TIP) כמו Recorded Future, Anomali, ThreatConnect
  • Feeds פתוחים (AbuseIPDB, AlienVault OTX) או בתשלום

שיטות חיבור ל-SIEM/SOAR:

הזנה אוטומטית דרך TAXII/STIX

תגובה אוטומטית בהתבסס על IOC – חסימה, חקירה או תיעדוף

הצלבה בין לוגים פנימיים למודיעין חיצוני

דוגמה תפעולית:

חברת SaaS מזהה כמות חריגה של הורדות מממשק API ציבורי. אירוע נשלח ל-SIEM, שם מתבצעת השוואה בין ה-IP לתוך Feed Threat Intelligence, שמזהה את הכתובת כחלק מקמפיין של קבוצת Lazarus. SOAR מבצע תגובה אוטומטית: חוסם את ה-IP ב-WAF, שולח התראה לצוות SOC, ומתחיל תהליך Forensics.

המלצות יישומיות:

  • הגדירו Runbooks ו-Playbooks לכל תרחיש אפשרי – כולל ענן.
  • בצעו שילוב SOAR עם Threat Intelligence ככלי תגובה מיידית.
  • השתמשו בענן כיתרון: Scale, Storage, Automation לתחקור אפקטיבי.
  • הכשירו צוותים לטפל באירועים בסביבות שאינן בשליטתכם הפיזית.

5. זיהוי חריגות התנהגותיות באמצעות Machine Learning

זיהוי התנהגות חריגה (Anomaly Detection) הוא אחת הגישות היעילות ביותר לגילוי מתקפות מתקדמות – במיוחד בענן, שם פעילות לגיטימית משתנה תדיר, וסיגנלים של תקיפה אינם מבוססים על חתימות מוכרות אלא על דפוסי פעולה מורכבים. מערכות מבוססות Machine Learning (ML) נכנסות לתמונה כשה-SIEM המסורתי מפספס או מוצף.

מדוע צריך ML בענן?

בעולם שבו:

  • משתמשים פועלים ממיקומים גיאוגרפיים מגוונים
  • שירותים מתרחבים ומוקטנים (Auto-scaling)
  • קוד מתעדכן כמה פעמים ביום (CI/CD)
  • והרשאות משתנות לפי Role

... קשה לבנות חוקים סטטיים. במצבים כאלה, יש ללמוד את ההתנהגות התקינה ולהתריע על חריגות ממנה.

סוגי אנומליות שניתן לזהות

User Behavior (UEBA)

  • משתמש שבדרך כלל ניגש לשירותים בימים א’-ה’ בין 9:00–18:00, פתאום מבצע פעולות ב-2 בלילה.
  • עובד HR שמוריד אלפי רשומות ממאגר פיננסי.

Resource Usage

  • Instance שפועל בקצב CPU חריג.
  • Lambda Function שפועלת פי 10 מהרגיל ביום ספציפי.

Network Patterns

  • תעבורה נכנסת ממדינה שאינה מאופשרת.
  • Volume גבוה מאוד של בקשות DNS.

Access & API Calls

קריאות API חדשות שלא נראו בעבר.

בקשות GET רגילות מתחלפות לפתע בפקודות DELETE.

סוגי אלגוריתמים נפוצים

Unsupervised Learning: זיהוי תבניות ללא צורך בתיוג מקדים:

Isolation Forest: מצביע על תצפיות נדירות (Outliers).

  • Autoencoders: מזהים כשל בשחזור התנהגות צפויה.
  • K-Means / DBSCAN: לקיבוץ דפוסים טיפוסיים ולזיהוי יוצאים מהכלל.

Supervised Learning: למידת זיהוי חריגים בהתבסס על דאטה מסומן:

  • Random Forest, SVM, XGBoost: ניבוי הסתברות לאירוע חריג בהתבסס על משתנים.

שילוב ML ב-SIEM ו-SOAR

  • Microsoft Sentinel כולל קונקטורים UEBA מובנים.
  • Google Chronicle משלב יכולות AI-based Contextual Detection.
  • Elastic SIEM תומך ב-ML Jobs מבוססי התנהגות.
  • SOAR יכול להפעיל תגובה מותאמת לפי Confidence Score של המודל.

דגשים חשובים:

  • Baseline Matters: יש להגדיר תקופת “למידה” למערכת (לרוב 30–60 ימים).
  • Context Matters: אלגוריתמים צריכים להיות מותאמים לפי תפקיד, צוות, מיקום.
  • Explainability: יש לוודא שהמערכת מסבירה מדוע נוצרה התראה (לא רק ציון).
  • Data Quality: Garbage in, garbage out. אם הלוגים רועשים או חסרים: אין למידה אפקטיבית.

דוגמה תפעולית:

מנהל חשבונות מתחיל לבצע שאילתות גדולות למאגר לקוחות דרך API חיצוני. זה לא זוהה ע״י SIEM כי המשתמש הוא לגיטימי. אך מערכת UEBA מזהה שהדפוס סוטה מההתנהגות הקודמת שלו – ומייצרת התראה עם Confidence גבוה. Playbook של SOAR מקפיא את Access Token ומעביר את האירוע לבדיקה ידנית.

סיכום

Machine Learning אינו פתרון קסם, אך הוא הכרחי כשרוצים לזהות תוקפים מתוחכמים, פעילות איטית, התנהגות מבוזרת או שימוש לרעה בהרשאות לגיטימיות. בשילוב נכון עם כלים אחרים, ML הופך את מערך הניטור מגיב – לפרואקטיבי, דינמי, ומותאם לעידן הענן.

6. Threat Hunting בענן – גישה יזומה לחשיפת תוקפים חמקניים

בעוד שמערכות ניטור מסורתיות כמו SIEM פועלות בצורה תגובתית – כלומר, מופעלת התראה כאשר כלל מסוים מתקיים – Threat Hunting הוא תהליך יזום שבו מחפש אנליסט איומים שטרם זוהו אוטומטית. תהליך זה נשען על השערות, ידע מקצועי וניסיון מצטבר כדי לחשוף תוקפים מתוחכמים הפועלים "מתחת לרדאר".

בענן, חשיבות ה-Threat Hunting מתעצמת: שירותים רבים משתנים באופן דינמי, זהויות רבות פועלות באוטומציה, ולרוב קשה להבחין בין חריגה לגיטימית לבין פעילות זדונית. התוקפים עצמם מכירים היטב את מגבלות ה-SIEM, ופועלים בדרכים עקיפות או אטיות כדי להימנע מזיהוי.

שלבי תהליך Threat Hunting

1. גיבוש השערה (Hypothesis):

  • "ייתכן שתוקף משתמש בזיהוי פרטי IAM שמודלף להריץ קוד דרך Lambda."
  • "יתכן שמשתמש פנימי משתמש בהרשאותיו כדי לגשת למידע שיווקי רגיש."

2. בחירת מקורות מידע (Datasets):

  • CloudTrail, Function Logs, IAM Logs, Storage Access Logs.
  • נתוני WAF, Load Balancer, API Gateway.

3. הרצת חיפושים (Query):

  • כתיבת שאילתות מתקדמות (KQL, SPL, BigQuery) למציאת תבניות חשודות.
  • ניתוח קשרים בין משתמשים, זמן, מיקומים גיאוגרפיים, הרצת תהליכים.

4. ולידציה ומדרוג (Validation):

  • הצלבת הממצאים עם מודיעין סייבר, רשימות IOC או משתמשים חריגים.
  • דירוג עוצמת החשד (Low/Medium/High Fidelity).

5. תיעוד ושיפור (Documentation)

  • תיעוד הממצאים, יצירת כללי זיהוי חדשים, עדכון Playbooks או Use Cases.
  • כלים נפוצים לתהליך
  • SIEM עם יכולת חיפוש מתקדמת: Splunk (SPL), Microsoft Sentinel (KQL), Google Chronicle (UDM), Elastic (Lucene).
  • SOAR או Notebooks: הפעלת Playbooks לבדיקות אוטומטיות, או שימוש ב־Jupyter Notebooks עם קוד Python לניתוח לוגים.
  • XDR Platforms: CrowdStrike Falcon, Microsoft Defender XDR, Palo Alto Cortex XDR – מאפשרים איסוף נתונים מקיף וניתוח חוצה מקורות.
  • כלי Threat Intel: MISP, Recorded Future, VirusTotal – לסיוע בקונטקסט וולידציה.

סוגי Hunting מקובלים

1. Intel-Driven:

  • מתחיל מהזנת IOC (IP, Hash) ובחינת הימצאותו בלוגים.

2. Behavioral:

  • חיפוש אחר אנומליות התנהגותיות (גישה חריגה, ריבוי קריאות API, שינוי פתאומי בהרשאות).

3. TTP-Oriented:

  • מבוסס על טקטיקות ממודל MITRE ATT&CK (למשל Lateral Movement או Data Exfiltration).

דוגמאות Hunting נפוצות:

  • חיפוש חשבונות IAM שלא שימשו חצי שנה – שפתאום ניגשים לנתונים.
  • זיהוי יצירת API Key חדש, ובמקביל תעבורה החוצה למדינה אסורה.
  • בדיקה האם Session Tokens משותפים ממיקומים גיאוגרפיים שונים תוך דקות.
  • זיהוי של תוכנות שורת פקודה חשודות שנשלחות להרצה באירוע Cloud Function.

מדדי הצלחה בתהליך:

  • מספר ממצאים שהובילו לאירוע חקירה ממשי.
  • ירידה ב־MTTD (זמן זיהוי).
  • הפקת כללי זיהוי חדשים (Use Cases חדשים) מתוך הפעילות.
  • שיפור איכות התראות (פחות False Positives).

המלצות:

  1. בצעו פעילות Hunting לפחות אחת לרבעון – עם צוות ייעודי.
  2. חנכו Tier-2 SOC להשתתף ולנתח – זהו כלי פיתוח מקצועי אדיר.
  3. הגדירו מראש טקטיקות מובילות לבדיקה – לא לצלול בצורה רנדומלית ללוגים.
  4. שלבו את התובנות ב־SIEM וב־SOAR באופן מיידי – כך הערך של ה-Hunting מתממש.

7. ניטור היברידי – אתגרים ופתרונות בשילוב ענן ו-On-Prem

במרבית הארגונים, המעבר לענן אינו מוחלט. שירותים מסוימים – כמו שרתי Active Directory, מערכות ERP ותשתיות רשת – ממשיכים לפעול מתוך ה-Data Center המקומי. במקביל, שירותים חדשים נבנים בענן ציבורי. כך נוצרת מציאות מורכבת: סביבה היברידית, שבה יש לשלב ניטור רוחבי – מהשרת המקומי ועד ל־Cloud Function באמזון.

שילוב זה מחייב ארכיטקטורה חכמה של ניטור שמצליחה להקיף את כל הסביבות – בלי לפספס ובלי להציף.

האתגרים העיקריים בניטור היברידי

1. פורמטים שונים של לוגים:

  • לוגים מקומיים: Syslog, Windows Event Logs, NetFlow.
  • לוגים בענן: JSON, API, Audit Logs, Serverless Traces.

2. הפרדה בין צוותים:

  • אנשי IT/Net אחראים על On-Prem.
  • אנשי Cloud או DevOps מטפלים בענן.
  • לעיתים אין תיאום בניתוח אירועים.

3. מגבלות רגולציה ואחסון מידע:

  • לוגים מקומיים אינם יכולים לצאת מהארגון.
  • לוגים מהענן עשויים להיאסף אך לא להישמר לצרכים משפטיים.

4. חוסר שקיפות בין מערכות:

  • SIEM מקומי לא יודע לפרש לוגים של Azure.
  • SOC מקבל התראות נפרדות ממערכות שונות.

פתרונות ישימים

Data Lake מרכזי:

  • שילוב של לוגים ממקורות שונים למאגר אחד.
  • לדוגמה: Elastic Stack, Snowflake, Azure Data Explorer.

Forwarders חוצי פלטפורמות:

  • שימוש ב־Cribl, Logstash, או Fluent Bit לנרמול פורמטים ואיחוד שדות.

שילוב SIEM מקומי עם SIEM ענני:

  • לדוגמה: QRadar On-Prem עם Azure Sentinel בענן.
  • חיבור הדדי (דו-כיווני) דרך Event Hub או Syslog Collector.

Federated Search Dashboards:

  • לוח תצוגה אחוד באמצעות Power BI, Grafana, Kibana.
  • תצוגה אחידה של התראות, חריגות ודפוסי תקיפה.

דוגמה מעשית:

בארגון גלובלי:

  • ה-SOC משתמש ב-Splunk מקומי כדי לנטר שרתים ו-Firewalls.
  • צוות הענן משתמש ב-Azure Sentinel.
  • נקבעה מדיניות: כל Event קריטי בענן ידווח דרך Webhook לסקריפט Python שמכניס אותו כ-Event ל-Splunk.
  • כמו כן, כל תרחיש של שינוי הרשאות מקומי ידווח גם לקונסולה של Sentinel דרך Event Forwarder.

התוצאה: שילוב מבצעי שמאפשר ניתוח אירועים אחוד גם אם התשתיות מופרדות.

דגשים לביצוע:

  • תיאום שעון (Time Sync) בין כלל רכיבי הלוג – קריטי לתחקור!
  • נרמול שמות שדות – חשוב שהשדה src_ip יופיע כך גם בענן וגם ב-On-Prem.
  • מפת אחריות – מי אחראי לאיסוף מכל מקור? עדכון Parserים? שמירת מידע?
  • ביצוע Drill דו-סביבתי – סימולציית תקיפה שמערבת רכיב מקומי וענני.

סיכום

ניטור היברידי הוא לא רק אתגר טכנולוגי – אלא גם ארגוני ותפעולי. הצלחה בו דורשת תיאום בין צוותים, ניהול אחוד של פורמטים, הגדרה של יעדים עסקיים לנראות, ובנייה של ארכיטקטורת ניטור שמתאימה למציאות מורכבת ולא לשאיפה לאידאל.

8. ניתוח עלות-תועלת (ROI) של מערכי ניטור ותגובה בענן

אחת השאלות המרכזיות של מקבלי החלטות בתחום הסייבר – ובעיקר מנהלי מערכות מידע, CISO-ים ומנהלי כספים – היא כיצד ניתן להעריך את התרומה של מערך הניטור לעומת ההשקעה בו. ניתוח ROI (Return on Investment) מדויק במערך ניטור הוא מאתגר, משום שהתוצאה המרכזית היא "מניעת נזק", אך קיימות דרכים מעשיות למדידה והשוואה.

רכיבי עלות עיקריים

  • תשלום לפי נפח לוגים בפלטפורמות SIEM/SOAR בענן.
  • רכישת רישיונות לכלי צד שלישי (XDR, UEBA, Threat Intelligence).
  • זמן עבודה של אנליסטים, חוקרים, וצוות Incident Response.
  • עלות פיתוח DevSecOps וניהול תחזוקה שוטפת.
  • הכשרות, הדרכות, תרגולים, וסימולציות Red/Blue Team.

ערכים שניתן לכמת

  • זמן תגובה ממוצע (MTTR): ירידה בזמן תגובה שווה חיסכון בכוח אדם ומניעת נזק.
  • כמות התראות שווא שנחסכות: מפחיתה עומס על SOC ומשפרת מיקוד.
  • זיהוי מוקדם של תקיפה: יכול למנוע אובדן נתונים, קנסות רגולטוריים ופגיעה במוניטין.
  • הקטנת שטח תקיפה: תוצאה של תובנות ממערך ניטור שמובילות להקשחה.
  • שימוש חוזר בתובנות (Playbooks, Use Cases): השקעה חד-פעמית שמייצרת ערך חוזר.

מדדים כמותיים נפוצים

  • Cost per Detection / per Escalation: כמה עולה לזהות אירוע אמיתי?
  • Mean Time to Detect (MTTD): כמה זמן עובר מהרגע שהתקיפה מתחילה ועד שזוהתה.
  • MTTR: כמה זמן לוקח להגיב ולסגור את האירוע.
  • Coverage Rate: איזה אחוז מתרחישי התקיפה הפוטנציאליים מכוסים על ידי Use Cases קיימים.
  • Analyst Efficiency: מספר אירועים שמטופלים ביום עבודה ממוצע.

דוגמה מעשית:

ארגון בינוני משלם כ־10,000 ש"ח לחודש על שירותי SIEM בענן, כולל 100GB של לוגים ביום.

לפני אינטגרציית SOAR:

  • טופלו בממוצע 15 אירועים ידנית ביום.
  • זמן התגובה הממוצע היה 5 שעות.

לאחר אינטגרציית SOAR, כתיבת Playbooks והזנת מודיעין חיצוני:

  • 80% מהאירועים טופלו אוטומטית.
  • זמן התגובה ירד ל־1.5 שעות בממוצע.
  • עלות כוח אדם ירדה, האיכות עלתה, ונוספו תובנות.

שיקולים נוספים:

  • Vendor Lock-in: כמה יעלה לעבור מספק SIEM אחד לאחר?
  • Scalability: האם המערכת תומכת בגידול עתידי בלוגים?
  • איחוד כלים (Consolidation): האם אפשר לוותר על פתרון צד שלישי אחד ולהשתמש בפלטפורמה משולבת?
  • שיפור החלטות עסקיות: בזכות Dashboards ואנליטיקות שהופכות אבטחה לחלק מניהול סיכונים.

סיכום

ניתוח ROI אינו מתמקד רק בעלות, אלא בעיקר בערך שנוצר: זמן תגובה מהיר יותר, מניעת תקריות חמורות, שיפור תיאום בין צוותים, והפחתת עומס מיותר. כשמתקיימת מדידה שוטפת, ניתן גם לשפר תהליכים, לחזות מגמות ולגייס תמיכה תקציבית מהנהלה על בסיס תוצאות ולא על בסיס חשש בלבד.

10. סיכום והמלצות ליישום פרקטי של מערך ניטור בענן

המעבר לעולם מבוזר, דינמי ומרובה שירותים מחייב את אנשי ה-IT והאבטחה לשנות את תפיסת הניטור מהיסוד. בעידן שבו נתונים נעים במהירות בין מערכות, שירותים זמניים נוצרים ונעלמים, והרשאות מתעדכנות בכל רגע – רק גישה רב-שכבתית, פרואקטיבית ומבוססת אוטומציה יכולה להבטיח הגנה אפקטיבית.

במהלך המאמר עברנו על אבני היסוד להקמת מערך ניטור ענני מודרני:

איסוף לוגים מבוזר, בניית Use Cases לפי תרחישים אמיתיים, שילוב SIEM מסורתי עם כלים ייעודיים לענן, שילוב ML ו-Threat Hunting, התמודדות עם סביבות היברידיות, הטמעת DevSecOps, ניתוח עלות-תועלת – והכי חשוב, תיאום מלא בין צוותים.

עקרונות מפתח לסיכום

  1. לוגים הם הדלק אבל הקונטקסט הוא המפתח. יש לאסוף לוגים בצורה חכמה, להעשיר אותם ולחבר אותם למטרות עסקיות.
  2. ה-SIEM הוא לא לבדו במערכה. נדרש שילוב עם SOAR, UEBA, Threat Intelligence, ו-Data Lakes.
  3. זיהוי התנהגות חריגה חשוב יותר מחתימות. מתקפות מודרניות חומקות מכלל סטטי: וניתנות לזיהוי רק בהקשר אנליטי.
  4. תגובה מהירה היא לא מותרות. הזמן שחולף בין חדירה לזיהוי קריטי למניעת נזק. SOAR ואוטומציה הם מנוע מפתח.
  5. צוותים חייבים לעבוד יחד. פיתוח, תפעול, אבטחה, וענן: ללא תקשורת ביניהם, אין נראות ואין תגובה.

המלצות מעשיות לארגונים

  • בצעו מיפוי של כל מקורות המידע: אילו לוגים נאספים, מה לא נאסף, ומה לא נגיש.
  • התחילו בקטן והרחיבו חכם: אל תפעילו מאות Use Cases מייד – בחרו את הקריטיים, כווננו, ואז הגדילו.
  • השקיעו ב-Playbooks לתגובה: תסריטים מוכנים שמקצרים דרמטית את זמן הפעולה של SOC ו-IR.
  • שלבו DevSecOps בפיתוח ובפריסה: ודאו שכל שירות חדש נולד עם לוגים, תיוגים, והרשאות נכונות.
  • בצעו Drill פעם ברבעון: סימולציית תקיפה תבדוק אם הכל באמת פועל: מהזיהוי, דרך התגובה ועד התיעוד.
  • השתמשו במדדים: MTTR, MTTD, False Positive Rate – ושפרו אותם באופן מתמיד.

סיום

המאמר נועד לשמש מדריך מעשי ומעמיק עבור אנשי IT ואבטחת מידע, המעוניינים לשדרג או להקים מערך ניטור מודרני בענן. יישום הדרגתי, תכנון נכון ושיתוף פעולה ארגוני – יהפכו את מערך האבטחה שלכם מכלי תגובתי לכלי ניהולי ואסטרטגי של ממש.

 

פוסטים נוספים שאולי יעניינו אותך

פרק 7: DevSecOps: הטמעת אבטחה בשרשרת הפיתוח
עבור למאמר
תאריך: 22.5.2025
פרק 8: ניהול פגיעויות וחולשות בסביבות ענן דינמיות והקשחות
עבור למאמר
תאריך: 22.5.2025
פרק 10: כלים ל-Offensive Security בענן
עבור למאמר
תאריך: 22.5.2025