清晰、简洁且全面:优秀SOC工单的制胜法则
SOC工作中调查环节常受重视,而文档记录等不那么光鲜的部分则被忽视。SOC工单便是典型例子:它可能是内部或面向客户的,可能包含几句话或几段文字,可能囊括所有必要信息或有所缺失。本文旨在帮助您以全新视角看待SOC工单。
优秀工单需满足若干核心要素和通用标准,无论其面向内部还是外部。本文假设客户可能会看到您正在处理的工单。
1. 优秀SOC工单包含所有必要证据
调查应为工单的最终评估部分构建案例。该案例大部分需由支持证据组成,无论是截图、日志还是工件等。薄弱证据行不通——内部或许尚可,对外绝对不行。
根据处理的警报类型,您需提供坚实的日志证据、链接和截图,以构建案例判断警报是否为真阳性。
2. 优秀SOC工单清晰简洁
支持证据过多反而适得其反。工单无需包含每条无果的调查路径。如前所述,调查目标是为评估构建案例:即您认为发生了什么以及是否为恶意活动。您完全可以用几段文字完成,虽然需用证据支持记录,但不应让客户不堪重负或浪费自身时间过度深入。若未来需要更多证据,总可在原始调查基础上扩展。
3. 优秀SOC工单需扎实的逻辑推理
在SOC工单质量检查中,我常遇到分析员对警报的思考要么过于宽泛,要么过于具体。需取得中间平衡。若思考过宽,您可能查看数周数月的日志、关注无关活动或检查数百台主机。若思考过窄,您可能错过警报最重要的一面:它应是攻击的预警信号,而非孤立任务。
我常用一个故事说明此点:我曾将某工单退回给前机构的一名分析员。生成该工单的警报是数据外泄警报,在短时间内有大量数据离开机构时触发。该警报命中某云提供商域名,特别是其存储服务之一。但由于我们公司使用了该提供商的某些服务,分析员将工单关闭,标记为向“供应商”上传,却忽略了关键点:任何人都可利用该云提供商的存储功能。
另一佳例是:若调查中发现警报活动被安全控制阻止,这不应意味着关闭工单并继续前进。真实攻击场景中,攻击者不会耸肩说“好吧,你抓到我了”然后回家;他们会尝试绕过该控制。如前所述,SOC警报通常只是攻击的早期预警系统。
4. 优秀SOC工单可重现
包含使用的查询、结果链接或导致特定结论的事件链,通常不会决定工单成败,但未来将为您节省时间和痛苦。查看其他分析员的工单时,您应能重现其结果或遵循其推理。这在我第2点提到的情形中也极大帮助:若未来需扩展问题,或收到与过去处理过的类似警报并想进行比较。
5. 优秀SOC工单具有教育意义
多数SOC工单永不见天日,但那些公开的应向接收方说明和解释情况。
例如,若您向客户升级有关个人使用不良“免费”VPN服务的工单,您应用几句话解释他们为何应在意。对非技术用户而言,他们可能认为无问题,因为VPN服务是免费的、永远保护您免受所有恶意软件侵害甚至为您洗碗(至少其网站这么说)。用几句话解释客户为何应关心您发送的工单,甚至可提供一些他们可采取的行动建议。
6. (额外)优秀SOC工单……
现在是一些快速提示!
- 包含特定事件相关的时间戳和时区;并非所有人都生活在正确时区(EST)。
- 升级工单时,将关键信息放在顶部;客户甚至其他分析员可能略读,在长调查中,您不希望评估或关键细节被埋没。
- 若调查警报的不同方面或探索不同途径,考虑用分隔符分开它们,使工单更易阅读。
- 同理,利用工单系统的格式功能;您无需用Times New Roman 12号字体书写整个调查。
- 在内部工单中勇于诚实;若不确定发生了什么,如实说明——但根据现有证据给出最佳评估。
- 将调查视如法庭案件;即使用证据构建案例,即使并非总有明确答案。
- 包含相关文档链接;若引用特定O365错误代码,链接到该微软页面。
- 升级时简洁明了,提问清晰,使接收方不困惑于需回应什么。
- 最后但同样重要,别太较真;计算机是复杂古怪的小机器,并非所有怪异现象都是主机上的国家级攻击者。有时,计算机只是有些 quirks。