11.2.1 L1 / L2 / L3 SOC 分级#

11.4.1 采集架构示例（ELK + Beats）#

1
Winlogbeat / Filebeat  ─► Logstash  ─► Elasticsearch ─► Kibana
2
                                   \
3
                                    ─► Kafka（削峰）

11.4.2 采集优先级（Essential Log Sources）#

1. 终端 EDR + Sysmon（进程链）
2. 身份（IdP、AD、Okta、飞书企业身份）
3. 网络出口（代理 + DNS）
4. 云控制面（CloudTrail / Activity）
5. Web 应用（Nginx access / 业务审计）

11.5.1 ELK（开源代表）#

1
docker compose up -d       # 快速起一个 ELK
2
# 指标：_cat/indices，分片数 / 保留周期 / 热温冷架构

11.5.2 Splunk SPL 示例#

1
index=wineventlog EventCode=4625
2
| stats count by src_ip, user
3
| where count > 20
4
| sort - count

11.5.3 检测规则：Sigma（SIEM 中立语法）#

1
title: Suspicious PowerShell Download
2
id: 0b1f2e2d-xxx
3
status: experimental
4
description: PowerShell 调用 DownloadString 下载脚本
5
logsource:
6
  product: windows
7
  service: sysmon
8
detection:
9
  selection:
10
    EventID: 1
11
    Image|endswith: '\powershell.exe'
12
    CommandLine|contains:
13
      - 'DownloadString'
14
      - 'IEX '
15
      - 'Invoke-Expression'
16
  condition: selection
17
falsepositives:
18
  - 合法运维脚本
19
level: high
20
tags:
21
  - attack.execution
22
  - attack.t1059.001

用 sigmac 转换成 Splunk / ES / Chronicle 查询：

1
sigmac -t splunk -c splunk-windows rule.yml

11.6.1 典型能力#

• 进程创建链路（父子进程、命令行、Hash）
• 文件 / 注册表写入审计
• 网络连接关联
• 内存扫描 / Shellcode 检测
• 一键隔离、远程取证、反向 Shell

11.6.2 开源方案#

• Wazuh = OSSEC + ELK：HIDS + 合规扫描 + Rootkit 检测
• osquery + Fleet：SQL 查询端点状态
• Velociraptor：高阶 DFIR / Hunt
• Elastic EDR：集成于 Elastic Security

11.6.3 示例：osquery 检测 “从 Temp 执行的未签名程序”#

1
SELECT p.pid, p.name, p.path, s.authority, s.serial_number
2
FROM processes p
3
LEFT JOIN signature s ON p.path = s.path
4
WHERE p.path LIKE 'C:\\Users\\%\\AppData\\Local\\Temp\\%'
5
  AND (s.authority IS NULL OR s.result != 'trusted');

11.7.1 核心能力#

• Playbook：事件触发 → 自动收集证据 → 富化 → 决策 → 阻断 / 通知。
• 富化：VirusTotal / Shodan / 威胁情报 / CMDB 查询。
• 执行：防火墙封 IP、EDR 隔离主机、IdP 强制改密。

11.7.2 开源工具#

• TheHive + Cortex：告警管理 + 富化分析
• Shuffle：可视化 Playbook，开源替代 Splunk SOAR
• n8n / Elastalert 2：轻量自动化

11.7.3 Playbook 样例：钓鱼邮件处置#

1
Trigger: 邮件网关上报 phishing
2
  ├─ 提取 IOC（URL / 附件 Hash / 发件人）
3
  ├─ VirusTotal + URLScan 富化
4
  ├─ 若命中 KEV / 威胁情报 → 自动：
5
  │    ├─ 邮箱删信 (Graph API)
6
  │    ├─ 代理封 URL
7
  │    ├─ 给相关用户发 Teams / 飞书告警
8
  │    └─ 在 TheHive 创建 Case
9
  └─ 否则 → 人工复核

11.8.1 假设驱动（Hypothesis-Driven）#

1
1. 假设（Hypothesis）：攻击者利用 WMI 做横向移动
2
2. 数据：Sysmon Event 1 + 3 + 17/18, Security 4624
3
3. 查询：父进程=wmiprvse.exe / 远程登录后 5 分钟内出现 cmd.exe
4
4. 验证：是否是正常 SCCM / 监控软件
5
5. 产出：写成一条 Sigma 规则 + 通报

11.8.2 狩猎矩阵（示例）#

11.9.1 NIST 四阶段#

1
Preparation → Detection & Analysis → Containment, Eradication & Recovery → Post-Incident Activity
2
准备       → 检测与分析            → 遏制 / 清除 / 恢复                → 事后复盘

11.9.2 关键动作（前 60 分钟）#

1. 确认是真告警还是误报。
2. 评估影响：主机数量 / 数据外泄量。
3. 隔离：EDR 隔离、网络分段断开、改密钥。
4. 保留证据：内存、日志、流量。
5. 启动指挥部：作战室 / 事件记录（Who/When/What）。
6. 通知：内部 + 法务 + 监管（依据合规）。

11.9.3 事件分级（可按贵公司实际调整）#

11.10.1 规则生命周期#

1
Hypothesis → Data Validation → Prototype → Test (Atomic Red Team / Purple Team)
2
         → Deploy → Monitor FP/TP → Tune → Retire

11.10.2 Purple Team 演练#

• Atomic Red Team：https://github.com/redcanaryco/atomic-red-team — 基于 ATT&CK 的原子测试。
• Caldera：MITRE 的自动化红队平台。
• Red Team Tools：C2 模拟、横向移动、数据外带。
• 指标：MTTD（发现时间）/ MTTR（响应时间）/ 覆盖率（ATT&CK 技术数）。

11.10.3 检测覆盖图#

推荐工具：attack-navigator（https://mitre-attack.github.io/attack-navigator/）做可视化，标记每个 ATT&CK 技术当前检测能力：

• green 已覆盖 + 高置信
• yellow 部分覆盖
• red 盲区

11.14.1 自评维度#

• Business：使命、客户、范围、SLA
• Process：检测、响应、狩猎、合规
• People：技能矩阵、招聘、培训
• Technology：工具栈、集成度、自动化
• Services：交付的具体服务列表

11.14.2 推荐升级路径#

1
1 → 2: 写 SOP + 角色分工 + 班次
2
2 → 3: KPI（MTTD/MTTR）+ 案例库 + 周报
3
3 → 4: SLA 命中率、覆盖度、训练 hours/quarter
4
4 → 5: 自动化 playbook 70%+ / 紫队闭环 / 主动狩猎

11.15.1 七阶段#

1
1. Hypothesis（假设）
2
   - 来源：威胁情报 / 红队报告 / ATT&CK 矩阵差距
3
2. Data Validation（数据可见性）
4
   - 是否采集了相应日志？字段是否完整？
5
3. Prototype（规则原型）
6
   - Sigma / KQL / SPL / EQL
7
4. Test
8
   - Atomic Red Team / 自定义 PoC / Purple Team
9
5. Deploy
10
   - 灰度 → 生产 → 标注严重级
11
6. Monitor & Tune
12
   - FP / FN / 覆盖率
13
7. Retire
14
   - 数据源消亡 / 业务变更 / 被更优规则替代

11.15.2 案例：检测 Lateral Movement via PsExec#

1
假设：攻击者用 PsExec 横向到内部服务器
2
数据：
3
  - Event ID 4624 Logon Type=3
4
  - Event ID 4672（特权登录）
5
  - Sysmon 1: PSEXESVC.exe 服务进程
6
  - Sysmon 3: 445 端口出站
7
原型（Sigma）：
8
  selection_logon:
9
    EventID: 4624
10
    LogonType: 3
11
  selection_psexec:
12
    EventID: 1
13
    Image|endswith: '\PSEXESVC.exe'
14
  timeframe: 5m
15
  condition: selection_logon AND selection_psexec
16
测试：用 Atomic T1021.002 触发
17
部署 → 调优（运维域账号白名单） → 周度回顾

11.15.3 检测覆盖度可视化#

• ATT&CK Navigator：把 Sigma 规则映射到 TXXXX，可视化绿/黄/红
• DeTT&CT (Detection Tooling for ATT&CK)：YAML 配置 + 评分公式
• VECTR：紫队结果跟踪

11.16.1 基线建模#

• 单实体（用户 / 主机 / 服务账号）建立”正常画像”
• 维度：登录时间、地理位置、设备、访问资源、流量量级

11.16.2 常用算法#

11.16.3 实战示例#

• 凭据滥用：管理员账号在凌晨从 VPN 登录 → 与基线偏差 > 3σ
• 横向移动：账号当天访问的主机数突增（之前 5，今天 50）
• 数据外带：外发流量突变 + 罕见目的国
• 内部威胁：员工在离职日下载大量敏感文档

11.16.4 商业工具#

• Microsoft Defender for Identity / Sentinel UEBA
• Splunk UBA
• Exabeam
• Securonix

11.17.1 数据采集层#

• Kernel Driver：minifilter（文件）/ NDIS（网络）/ Process Notify Callback
• ETW（Event Tracing for Windows）：低开销内核事件流
• AMSI（Antimalware Scan Interface）：脚本扫描接口

11.17.2 行为分析层#

• 事件流 → 关联引擎 → 风险评分
• 内存扫描：周期性 / 触发式
• IOC / Yara 规则匹配

11.17.3 响应层#

• 隔离主机（防火墙规则 + 网络断开但保留管理通道）
• 进程终止 / 文件隔离 / 注册表回滚
• 远程取证（Live Response Shell）

11.17.4 EDR 绕过常见技巧#

• 直接 syscall（绕用户层 hook）
• AMSI / ETW patching
• LotL（PowerShell / wmic / certutil）
• 内核 callback 摘除（高级 / 需驱动签名漏洞）
• 时间分散（慢节奏 + 混合合法行为）

11.17.5 蓝队反制思路#

• 多源叠加（EDR + Sysmon + 网络）
• 关键 API（NtReadVirtualMemory、CreateRemoteThread）走 ETW Microsoft-Windows-Threat-Intelligence
• 检测 ETW patch（CALL EtwEventWrite 总条数突降）
• AMSI bypass 检测：扫 AmsiScanBuffer 的 patched bytes

11.18.1 蜜罐分类#

11.18.2 Honeytoken#

• 假凭据（AWS canarytoken / Azure / Google API key）
• 假文件（“salary.xlsx”，访问触发告警）
• 假数据库记录（SQL trap row）
• DNS canary（专用域名一旦解析即告警）

11.18.3 部署原则#

• 无业务用途，任何访问 = 异常
• 与真实环境同 VLAN / 同子网（吸引内网攻击者）
• 告警通道独立，避免噪音淹没
• 法律合规：在管辖域内 + 不诱导 / 不存储个人信息

11.19.1 工作流#

1
1. 选 ATT&CK 技术（按风险 + 覆盖差距）
2
2. 红队执行 Atomic 测试
3
3. 蓝队记录：是否检测？告警时间？告警内容？
4
4. 差距分析：写新 Sigma / 调阈值 / 升级数据采集
5
5. 复测，直到覆盖
6
6. 文档化 + 周期回归

11.19.2 推荐 Top 50 入门测试#

1
T1003.001 LSASS Memory
2
T1059.001 PowerShell
3
T1059.003 Windows Command Shell
4
T1547.001 Run Key Persistence
5
T1112    Modify Registry
6
T1027.002 Software Packing
7
T1078    Valid Accounts
8
T1018    Remote System Discovery
9
T1021.001 RDP
10
T1021.002 SMB/Admin Shares
11
T1486    Data Encrypted for Impact
12
... (按 ATT&CK Top Threats 报告补全)

11.19.3 自动化平台#

• VECTR：开源紫队结果跟踪
• AttackIQ / SafeBreach / Cymulate：商业 BAS（Breach & Attack Simulation）
• Caldera：MITRE，全自动红队

11.20.1 数据可视化#

• Grafana + Prometheus 仪表盘
• Power BI / Tableau 周报
• 自动周报：脚本拉取 SIEM 数据生成 Markdown / PDF

11.24.1 中国合规#

• 网络安全法：实施安全保护制度、漏洞披露、个人信息保护
• 数据安全法：分级分类、数据出境
• 个人信息保护法 (PIPL)：明确同意、数据主体权利
• 网络安全等级保护 2.0：三级以上系统强制要求 + 测评
• 关基保护条例：关键信息基础设施特别保护

11.24.2 国际#

• NIS2（欧盟）：扩大覆盖关键行业，更严合规
• GDPR：72h 数据泄露通报
• SEC 4 days disclosure（美国上市公司）
• HIPAA（医疗）/ PCI-DSS（支付）

11.24.3 SOC 联动法务#

• 重大事件法务 / PR / 监管必参与
• 证据保留 7 年（部分行业）
• 跨境取证：协议 + 数据出境合规

参考答案要点#

5. 关键字段：wmic.exe、/node:、process call create；上下文：父进程为非 SCCM。
6. Z-score on (login_hour, login_country)，阈值 3σ 触发告警。

教材#

• 《Blue Team Handbook: Incident Response Edition》Don Murdoch
• 《Crafting the InfoSec Playbook》Jeff Bollinger
• 《Practical Threat Intelligence and Data-Driven Threat Hunting》Valentina Costa-Gazcón
• 《The Practice of Network Security Monitoring》Richard Bejtlich
• 《Applied Incident Response》Steve Anson

标准 / 框架#

• NIST SP 800-61r2 IR
• NIST SP 800-86 取证
• ISO/IEC 27035 IR
• MITRE ATT&CK / D3FEND / CTID
• SANS CIS Controls v8
• SOC-CMM

资源#

• Florian Roth Blog（Sigma 作者）
• SANS DFIR / Internet Storm Center
• The DFIR Report
• Active Countermeasures Threat Hunting Show
• Black Hills Information Security 博客

课程 / 认证#

• SANS SEC450 / SEC511 / SEC504 / SEC555
• GIAC GMON / GCDA / GCIH / GSOC
• Blue Team Level 1/2 (Security Blue Team)
• HTB Blue Track

与其他章节的接口#

• ← Ch07 / Ch08：渗透提供”攻方视角”指导检测
• ← Ch10：取证 / 恶意分析提供 IOC 与规则原料
• → Ch12：云 / 容器 / AI 蓝队特殊技术延伸

学习节奏（12 周计划）#

• W1-2：搭好 ELK + Sysmon + Atomic Red Team 实验
• W3-4：写 20 条 Sigma 规则 + 全部测试通过
• W5-6：搭 TheHive + Cortex + Shuffle 完成 1 个 Playbook
• W7-8：参与（或模拟）一次紫队演练，复盘报告
• W9-10：UEBA + 异常检测项目（Z-score / Isolation Forest）
• W11：合规自查（等保 / NIS2 / SOC2 选 1）
• W12：写一份 SOC 半年规划文档

终极心态#

• “防御无法 100%，但可以让攻击者付出更高代价”
• “可解释 > 自动化 > 智能化”：先有清楚逻辑再上 AI
• “演练是真理”：没演练过的应急 = 没有应急
• “记录文化”：每个事件、每条规则、每次复盘都留下文档

11.29.1 全字段结构#

1
title:        # 必填，描述
2
id:           # UUID 唯一
3
status:       # stable / test / experimental / deprecated
4
description:  # 详细说明
5
references:   # 引用链接
6
author:       # 作者
7
date:         # 创建日期
8
modified:     # 修改日期
9
tags:         # ATT&CK / CVE / 自定义
10
logsource:    # product / service / category
11
detection:
12
  selection_<n>:
13
    field|modifier: value
14
  filter_<n>:
15
    ...
16
  condition: <逻辑表达式>
17
  timeframe:  # 1m / 1h / 1d
18
fields:       # 输出关键字段
19
falsepositives: # 已知误报情况
20
level:        # informational / low / medium / high / critical

11.29.2 字段修饰符（Modifiers）#

11.29.3 condition 语法#

1
condition:
2
  selection_a and not filter_a
3
  1 of selection_*
4
  all of selection_*
5
  selection_a and (selection_b or selection_c)
6
  selection_a | count(user) by host > 10

11.29.4 Aggregation（聚合）#

1
detection:
2
  selection:
3
    EventID: 4625
4
  timeframe: 5m
5
  condition: selection | count() by user > 10

不是所有 SIEM 后端都支持完整聚合，需在 sigmac / pySigma 转换时确认。

11.29.5 二十条优秀示例规则参考#

1. PowerShell 编码命令 (-enc)
2. WMI 远程执行 (wmiprvse.exe 父进程)
3. 服务安装新二进制（EventID 7045）
4. 计划任务建立（EventID 4698 + 可疑命令）
5. 域控异常 LDAP 搜索（BloodHound 扫荡）
6. mimikatz 关键字（sekurlsa::logonpasswords）
7. AdFind 工具运行
8. Cobalt Strike Beacon 默认 named pipe (\\.\pipe\msagent_*)
9. UAC 绕过（fodhelper.exe / sdclt.exe）
10. AMSI Bypass 字符串
11. ETW Patch 字符串 (0x00,0xC3 near EtwEventWrite)
12. lsass.exe 被 procdump / minidump 访问
13. wevtutil cl 清除日志
14. vssadmin delete shadows
15. bcdedit /set safeboot
16. cmstp.exe 滥用
17. regsvr32 /s /u /i
18. mshta http://
19. rundll32 加载未签名 DLL
20. PrintNightmare 引用 SpoolerPipeName

11.30.1 Microsoft Sentinel KQL#

1
// 高频登录失败 + 后续成功登录（密码喷洒）
2
SecurityEvent
3
| where TimeGenerated > ago(1h)
4
| where EventID in (4625, 4624)
5
| summarize
6
    failures = countif(EventID == 4625),
7
    successes = countif(EventID == 4624)
8
    by Account, IpAddress
9
| where failures > 20 and successes > 0
10

11
// 检测可疑 PowerShell
12
DeviceProcessEvents
13
| where FileName =~ "powershell.exe"
14
| where ProcessCommandLine matches regex "(?i)(downloadstring|iex|invoke-expression|hidden|encodedcommand)"
15
| project DeviceName, AccountName, ProcessCommandLine, InitiatingProcessFileName

11.30.2 Splunk SPL#

1
index=main sourcetype=WinEventLog:Security EventCode=4625
2
| stats count by user, src_ip
3
| where count > 10
4

5
index=sysmon EventCode=1 ParentImage="*\\winword.exe" Image="*\\powershell.exe"
6
| table _time host User CommandLine

11.30.3 Elastic EQL#

1
sequence by user.name with maxspan=10m
2
  [ authentication where event.outcome == "failure" ] with runs=10
3
  [ authentication where event.outcome == "success" ]

11.30.4 跨平台心智模型#

11.31.1 Ransomware Tabletop Exercise#

1
场景设定（注入 1）：
2
  T+0: SOC 收到 EDR 告警："批量文件被加密"
3
  受影响主机：财务部 PC × 3
4

5
讨论问题：
6
  - 谁拥有 IR Decision 权限？
7
  - 是否立即断网？影响范围？
8
  - 内存取证 vs 直接关机的取舍？
9

10
注入 2：
11
  T+30min: 备份服务器也开始加密
12

13
讨论问题：
14
  - 备份隔离是否有效？
15
  - 是否有离线 / 不可变备份？
16
  - 启动 BCP/DRP 的阈值？
17

18
注入 3：
19
  T+2h: 攻击者邮件要求 200BTC 否则公开数据
20

21
讨论问题：
22
  - 法务 / 公关 / 监管报告时间线？
23
  - 是否谈判？谁谈？通过谁？
24
  - 数据是否真有外泄？如何验证？
25

26
输出：
27
  - 决策清单 + 责任人 + SLA
28
  - 演练报告 + 改进项 Jira

11.31.2 Phishing Tabletop#

1
场景：CFO 收到伪装成 CEO 的邮件，要求紧急转账 $500K
2
关键点：
3
  - BEC（Business Email Compromise）识别
4
  - 转账内控（双签 / 通话核验）
5
  - 邮件认证（DMARC / SPF / DKIM）

11.31.3 0day 外网暴露 Tabletop#

1
场景：媒体爆料一个未公开的 RCE 漏洞，影响你公司核心产品
2
关键点：
3
  - 是否真存在 0day？取证团队启动
4
  - WAF 临时规则 / 临时下线
5
  - 客户通知话术
6
  - 与监管 / 法务 / 公关同步

11.32.1 日志保留期参考#

11.32.2 隐私合规#

• 不在日志保存敏感个人信息（身份证、密码明文）
• 必要时脱敏（哈希、Tokenization）
• GDPR：日志中如有 PII，需按数据主体请求删除（除非保留有合法依据）
• 跨境传输：数据出境需评估（PIPL / GDPR）