สารบัญ
📚 อยากเห็นภาพ SOC / SIEM / EDR / Threat Hunting / Incident Response ในภาษาคนก่อน? CyberSecurity Foundation EP.43 SOC + SIEM + EDR + EP.44 Threat Hunting + Deception + EP.46 Incident Response เล่าเครื่องมือพวกนี้ก่อน ตรงนี้เราจะมองในมุม audit — ว่า SOC + IR ขององค์กรพร้อมจริงไหม
ผมเพิ่งเข้าใจว่า Security Monitoring กับ Incident Response คือสองงานที่ “ลำพังที่สุด” และ “เข้มข้นที่สุด” ในวิชาชีพ IT ครับ
ตอนผมอ่าน Section 5.13 + 5.14 รอบแรก สิ่งที่กระทบใจมากไม่ใช่ชื่อเครื่องมือ (SIEM, IDS, IPS, SOAR) แต่คือภาพของคน — ทีม 2 คนนั่งดู SIEM ที่ alert วันละ 5,000 ครั้ง, analyst ที่ต้องตัดสินใจในชั่วโมงตี 3 ว่าจะ isolate server หรือไม่, CSIRT lead ที่ต้อง brief CEO ภายใน 30 นาทีหลัง breach ขณะที่ตัวเองยังไม่รู้ scope ทั้งหมด งานพวกนี้ไม่มี playbook สำหรับความรู้สึก — มีแต่ playbook สำหรับ action
ที่ทำให้ผมหยุดคิดคือคำว่า monitoring theater ครับ — บริษัทที่ “ดู effective แต่จริงๆ ไม่ work” ตั้ง SIEM แต่ไม่มีคนตอบ alert, ตั้ง IDS แต่ไม่มีคน review, ตั้ง CSIRT แต่ไม่เคย drill จริง ทุกองค์กรเริ่มต้นเหมือนกันคือ “มีเครื่องมือครบ” แต่เส้นแบ่งระหว่าง “ป้องกันได้จริง” กับ “monitoring theater” อยู่ที่คนที่นั่งดู — และคนที่นั่งดูคือคนที่ทำงานหนักที่สุดในห้องโดยที่ board มองไม่เห็น
ในมุม audit ตอนนี้บทบาทของผมเลยไม่ใช่ “ตรวจว่ามีเครื่องมือ” แต่คือ “ตรวจว่ามีคนใช้เครื่องมือเป็นและพอ” คนละ frame เลย — และผมรู้สึกว่าตรงนี้คือหัวใจของ Domain 5 บันทึกตอนนี้ของผมเลยอยากปูตั้งแต่ปัญหาว่าทำไมต้อง monitor ไปจนถึง IR cycle 4 phases เพื่อให้เห็นว่าทุกชิ้นรองรับ “คนที่นั่งดู” คนนั้นยังไง
ตอนที่แล้วเราคุยเรื่องวิธีโจรเข้าและการจ้างคนลองงัด แต่ในชีวิตจริง เราไม่ได้รู้ตัวว่ามีโจรเข้าจนกว่าจะ “เห็น” หรือ “รู้สึก” ว่ามีอะไรผิดปกติ
นี่แหละเรื่องของบทนี้ — 2 capability ที่ต้องทำงานต่อเนื่อง:
- Section 5.13 — Security Monitoring (กล้องวงจรปิด + sensor)
- Section 5.14 — Incident Response (แผนรับมือเมื่อเกิดเหตุ)
ทั้งสองเป็น detective + corrective controls ที่ทำงานเป็น loop ต่อเนื่อง monitor → detect → respond → learn → ปรับ monitor
ในมุมบ้านดิจิทัล กล้องวงจรปิดที่ไม่มีใครดู และระบบสัญญาณเตือนภัยที่ไม่มีแผนรับมือ ทั้งสองอย่างนี้ให้ความปลอดภัยปลอมๆ ทั้งคู่
ส่วนที่ 1 — ทำไมต้อง Monitor
เริ่มจากปัญหา
ลองคิดดู บริษัทตั้ง IDS แล้ว แต่ไม่มีใครดู alert
- มีกล้อง CCTV ที่บันทึกตลอด แต่ไม่มีคนดู
- มี SIEM ที่ alert วันละ 5,000 ครั้ง แต่ทีมมีแค่ 2 คน
- มี firewall log แต่ไม่ได้ review ทุกเดือน
ในแต่ละกรณี เครื่องมืออยู่ครบ แต่ไม่มีคนตอบสนอง
นี่แหละสิ่งที่ ISACA เรียกว่า monitoring theater ดู effective แต่จริงๆ ไม่ work
Monitoring เพื่อ 5 อย่าง
CRM ระบุเป้าหมาย:
- Evidence collection สำหรับการสืบสวน + prosecution
- Proactive deterrence user รู้ว่าโดน monitor → ลด insider threat
- Compliance regulator ต้องการ
- Investigation support เมื่อเกิดเหตุ มีข้อมูลให้ trace
- Identification of security problems ค้นพบปัญหาที่ป้องกันไม่ได้
ส่วนที่ 2 — IDS / IPS
IDS = Detection, IPS = Prevention
ผ่านมาแล้วในตอน 45 — ทบทวนสั้นๆ:
- IDS — detect + alert เท่านั้น ไม่ block
- IPS — detect + block อัตโนมัติ
ในมุมบ้าน:
- IDS = sensor ตรวจจับการเคลื่อนไหว แจ้งเตือน
- IPS = ระบบล็อกประตูอัตโนมัติเมื่อ sensor detect
Network-based vs Host-based
Network-based (NIDS/NIPS)
- มองที่ network traffic
- เห็น attack pattern ที่ผ่าน network
- ไม่เห็นสิ่งที่เกิดในเครื่อง
Host-based (HIDS/HIPS)
- ลงในเครื่องแต่ละเครื่อง
- เห็น file changes, process activity, registry changes
- ไม่เห็น network ถ้าไม่ได้ correlate
ใช้คู่กัน = ครอบคลุมทั้งสองมิติ
Detection Methods
Signature-based
- เปรียบ pattern กับฐานข้อมูล signature ของ attack ที่รู้จัก
- ดี: false positive ต่ำ
- ไม่ดี: จับ zero-day ไม่ได้ — ไม่มี signature
Statistical / Anomaly-based
- เรียนรู้ baseline ของพฤติกรรมปกติ — alert เมื่อมี deviation
- ดี: จับ unknown attacks ได้
- ไม่ดี: false positive สูง — กิจกรรม “แปลกแต่ไม่ใช่ attack” ก็ alert
Neural Network / Machine Learning
- พัฒนาจาก statistical — เรียนรู้ pattern ที่ซับซ้อน
- ใช้ใน UEBA (User and Entity Behavior Analytics)
ข้อสอบ trap: “Signature-based IDS — weakness ที่สำคัญที่สุด?”
หลอก: false positive สูง จริง: จับ zero-day ไม่ได้ เพราะไม่มี signature ในฐานข้อมูล
IDS Placement — Top Trap ของ D5
อันนี้กลับมาอีกแล้ว ออกข้อสอบบ่อยมาก
คำถาม: วาง IDS ที่ไหนเพื่อ detect attacks ที่ผ่าน firewall?
หลอก: ฝั่ง Internet ของ firewall (รับ attack ทั้งหมด) จริง: ฝั่งใน firewall (รับเฉพาะ attack ที่ผ่าน firewall ได้)
เหตุผล:
- ฝั่งนอก = noise มหาศาล (รวม attack ที่ firewall block แล้ว)
- ฝั่งใน = แต่ละ alert มีความหมาย attack ผ่าน firewall เข้ามาถึง internal network แล้ว
ข้อสอบบางครั้งถามเฉพาะเจาะจง ต้องอ่านคำถามให้ดีว่า “detect attacks อะไร” ที่ผ่าน firewall หรือทั้งหมด
IPS Concerns
IPS ที่ตั้งค่าผิด:
- Too sensitive — block legitimate traffic — business operation ล่ม
- Reverse weaponization — attacker ส่ง spoofed packet ที่ trigger IPS ให้ block IP ของ legitimate user
IPS ต้อง tuning ต่อเนื่อง
Honeypots / Honeynets
Honeypot = ระบบหลอกที่ดูเหมือน real target — ให้ attacker เข้ามา observe Honeynet = network ของ honeypots
ใช้สำหรับ:
- ศึกษาวิธีการ attack
- Detection (ใครเข้า honeypot = malicious แน่นอน)
- Threat intelligence
ข้อสอบ trap: “Honeypot detect attacker — concern ของ auditor?”
หลอก: honeypot สิ้นเปลืองทรัพยากร จริง: honeypot ต้อง isolated และ monitored ถ้าไม่ดูแลดีๆ อาจกลายเป็น launching pad ของ attacker เอง
ส่วนที่ 3 — Logging: หลักฐานที่ต้องเชื่อถือได้
ทำไม Log สำคัญ
Log = หลักฐานหลัก สำหรับ investigation, forensics, compliance
ถ้า log ไม่น่าเชื่อถือ — investigation ล่ม, ศาลไม่รับ
Log Content ที่ต้องมี
ตามมาตรฐาน:
- What — resource ที่ถูก access
- Who — user / terminal / system
- When — timestamp (จำเป็นต้อง sync ผ่าน NTP)
- How — access method
- Where from — source IP / location
- Result — success / failure
Log Protection
ปัญหาหลัก: ถ้าผู้โจมตีเข้าได้ สิ่งแรกที่จะทำคือ ลบ log เพื่อไม่ให้ trace กลับมาได้
ป้องกันด้วย:
- Centralized log server — log ไปเก็บที่ที่ผู้โจมตีเข้าไม่ได้
- Write-only storage — log แก้ไม่ได้หลังเขียน
- Cryptographic signing — sign log เพื่อ detect tampering
- Retention policy — เก็บนานพอสำหรับ investigation + regulatory
Admin Activity Logging — Critical
ที่เจอใน audit จริงบ่อยที่สุดคือ system administrator activities ไม่ได้ log
เหตุผลที่ผิด: admin คือคนที่มี access สูงสุด ถ้าทำผิดและไม่มี log แล้วใครจะรู้?
ข้อสอบ trap: “auditor finding ที่พบบ่อย?”
จริง: Admin actions ไม่มี logging หรือไม่มีการ review
DBA ที่ดาวน์โหลดข้อมูลลูกค้าทั้งหมดออกไปกลางดึก ถ้าไม่มี log จะรู้ตัวได้ยังไง?
ส่วนที่ 4 — SIEM: ห้องควบคุมกล้องวงจรปิด
SIEM ทำอะไร
SIEM (Security Information and Event Management) = ระบบที่:
- Aggregate log จากหลายแหล่ง
- Correlate events เพื่อจับ attack pattern
- Alert เมื่อพบความผิดปกติ
- เก็บ log สำหรับ investigation
ในมุมบ้าน เปรียบเหมือนห้องควบคุม CCTV ของห้างที่รวม feed จากกล้องทุกจุด มี analyst นั่งดู แล้วมี automated alert เมื่อพบสิ่งผิดปกติ
SIEM ที่ตั้งค่าผิด = Alert Fatigue
ปัญหาที่เจอเกือบทุกองค์กร:
- SIEM alert วันละ 5,000-50,000
- ทีม 2-5 คน
- ดูไม่ทัน → alert จริงถูกฝัง
ข้อสอบ trap: “SIEM มี 10,000+ alerts/day ส่วนใหญ่ถูก ignore — concern หลัก?”
หลอก: SIEM ต้องการ storage มากขึ้น จริง: Alert fatigue incident จริงถูกฝังในกอง noise ต้อง tune baseline ลด false positive
SIEM Tuning
หลักของ SIEM ที่ดี:
- Baseline ของ normal behavior ที่ตั้งให้เหมาะกับองค์กรเอง
- Severity tiering — alert level ที่แตกต่างกัน
- Use cases — กฎที่จับ specific attack pattern
- Continuous tuning — ปรับตาม false positive ที่เจอ
UEBA — Behavior-based
UEBA (User and Entity Behavior Analytics) = ML-based detection ที่เรียนรู้พฤติกรรมปกติของแต่ละ user/entity
ตัวอย่าง:
- พนักงาน A ปกติ login จากกรุงเทพในเวลางาน
- วันนี้ login จากต่างประเทศตี 3 → UEBA flag เป็น anomaly
UEBA จับ insider threat + compromised credential ได้ดีกว่า signature เยอะ
ส่วนที่ 5 — Incident Response (Section 5.14)
IR เป็น Control เหมือนกัน
หลายคนคิดว่า IR คือ “ทำตอนเกิดเหตุ” ผิดเลย
IR ที่ดีคือ capability ที่เตรียมไว้ ก่อนเกิดเหตุ องค์กรที่เคยซ้อม IR เสียหายน้อยกว่าองค์กรที่ improvise ตอนเกิดเหตุเยอะมาก
NIST 800-61: 4 Phases of IR
1. Preparation ↓2. Detection / Identification / Analysis ↓3. Containment / Eradication / Recovery ↓4. Post-Incident ActivityPhase 1 — Preparation
ทำก่อนเกิดเหตุ:
- กำหนดว่าอะไรคือ “incident”
- สร้าง IR policy
- ตั้ง CSIRT (Computer Security Incident Response Team)
- กำหนด communication chain
- เตรียม tools (forensic kit)
- Train team
- ซ้อม (tabletop exercises)
ข้อสอบ trap: “FIRST phase ของ IR?”
หลอก: Detection จริง: Preparation ต้องเตรียมก่อนเกิดเหตุ ไม่ใช่ตอนเกิดแล้วค่อยทำ
Phase 2 — Detection / Identification / Analysis
- รับ alert จาก SIEM, IDS, user report
- Validate ว่าเป็น incident จริง (ไม่ใช่ false positive)
- Classify severity
- Document timeline
Phase 3 — Containment / Eradication / Recovery
Containment = หยุดการแพร่ ถ้า ransomware เริ่ม encrypt isolate เครื่องนั้นทันที
- Short-term containment (immediate)
- Long-term containment (สักระยะระหว่าง investigate)
Eradication = กำจัด threat ลบ malware, ปิดช่องโหว่, change credentials
Recovery = restore ระบบ restore from backup, monitor ว่าไม่มี re-infection
ข้อสอบ trap: “ค้นพบ ransomware first action?”
หลอก: จ่าย ransom จริง: Contain isolate affected systems ทันที เพื่อป้องกัน lateral spread
Phase 4 — Post-Incident
หลายองค์กรพลาดขั้นนี้ พอ recovery เสร็จก็ถือว่าจบเลย
แต่ขั้นนี้สำคัญที่สุดในระยะยาว:
- Lessons learned meeting
- Update IR policy + playbook
- Identify gap — control ไหนล้ม
- Share findings (กับทีมอื่น, industry CERT)
ส่วนที่ 6 — CSIRT + IRP
CSIRT — ทีมรับมือ
CSIRT (Computer Security Incident Response Team) = ทีมที่ designate ให้รับมือ incident
ความรับผิดชอบ:
- Determine scope ของ damage
- Assess data compromise
- Implement recovery
- Supervise additional measures
CSIRT ต้องตั้ง ก่อนเกิดเหตุ ไม่ใช่มาตั้งทีมตอนไฟไหม้
IRP (Incident Response Plan)
เอกสารที่ระบุ:
- รายละเอียดของแต่ละ phase
- Communication plan (legal review ก่อน external statement)
- Integration กับ DRP/BCP
- Critical asset priorities
- Mandatory drills + tabletop exercises
ข้อสอบ trap: “IRP มี แต่ไม่ได้ test 3 ปี — risk?”
หลอก: Documentation outdated จริง: IRP อาจล้าสมัย ทีมอาจ undertrained communication chain อาจล้าสมัย IRP ที่ไม่ test = IRP ที่อาจใช้ไม่ได้จริง
Communication — ห้ามรีบประกาศ
ข้อสอบ trap: “ก่อนสื่อสารกับ media — อะไรต้องเกิดก่อน?”
หลอก: สื่อสารทันทีเพื่อรักษา reputation จริง: Legal review เสร็จก่อน ข้อความที่ผิดอาจสร้าง legal liability เพิ่มจาก breach อีกชั้น
ส่วนที่ 7 — SOAR: Auto-Response
ปัญหา: Human Speed ไม่ทัน
Attack สมัยใหม่ทำงานเป็น milliseconds ส่วน human response เป็น minutes-hours
ที่อันตรายที่สุดคือ ransomware ที่ encrypt 100GB ใน 5 นาที รอให้ analyst ดู alert แล้วตอบสนอง = สายเกินไปแล้ว
SOAR — Automation
SOAR (Security Orchestration, Automation and Response) = ระบบที่:
- Orchestrate — เชื่อม security tools หลายตัว
- Automate — ทำ task ที่เคยทำมือ
- Respond — มี playbook อัตโนมัติ
ตัวอย่าง playbook:
- SIEM detect ransomware behavior
- → SOAR isolate affected host (ผ่าน EDR)
- → SOAR block source IP (ผ่าน firewall)
- → SOAR notify CSIRT
- → ทำใน 5 วินาที — ไม่ต้องรอคน
SOAR vs SIEM
ข้อสอบ trap: “SOAR vs SIEM ต่างกัน?”
หลอก: SOAR replace SIEM จริง: SIEM detect + alert; SOAR respond + remediate เสริมกัน ไม่แทนกันนะครับ
มุมผู้บริหาร: SOAR + PDPA 72 ชั่วโมง
PDPA กำหนดให้แจ้ง breach ภายใน 72 ชั่วโมง รวมเวลา detect + investigate + draft notification
ถ้า detect ช้า เวลาเหลือ investigate น้อย notification ที่ผิดพลาด = regulatory penalty เพิ่มอีก
SOAR ที่ลด MTTD (Mean Time To Detect) = เพิ่มเวลาให้ทีม investigate = notification ที่แม่นยำขึ้น
เชื่อม Domain 4
หลายเรื่องในบทนี้ต่อจาก Domain 4:
- Log management ใน Domain 4 บอกว่า log ต้องเก็บอะไรและจัดการยังไง
- Domain 5 ขยาย log ไหนมี security significance + เอามา correlate ใน SIEM
- Incident management ใน Domain 4 (operational incident เช่น server ล่ม) ≠ Security incident response (จาก attack)
- BCP/DRP ใน Domain 4 — IRP ต้อง integrate กับ BCP/DRP ด้วย
Trap Summary
| สถานการณ์ | คำตอบหลอก | คำตอบจริง |
|---|---|---|
| Signature IDS — weakness สำคัญ | false positive สูง | จับ zero-day ไม่ได้ |
| IDS placement detect attacks ผ่าน firewall | ฝั่งนอก firewall | ฝั่งในระหว่าง firewall + internal |
| SIEM 10K alerts/day ส่วนใหญ่ถูก ignore | ต้องการ storage เพิ่ม | Alert fatigue — ต้อง tune baseline |
| Log retention — verify อะไร | ขนาด file | ระยะเวลาตรงกับ investigation + legal |
| Honeypot — concern | สิ้นเปลือง resource | ต้อง isolated + monitored |
| FIRST phase IR | Detection | Preparation |
| Ransomware — first action | จ่าย | Contain — isolate ทันที |
| IRP ไม่ test 3 ปี | docs outdated | Plan ที่อาจใช้ไม่ได้ — team untrained |
| SOAR vs SIEM | SOAR แทน SIEM | SOAR respond, SIEM detect — เสริมกัน |
| ก่อนแถลง media | แถลงทันที | Legal review เสร็จก่อน |
| Auditor finding บ่อย | log อะไร | Admin actions ไม่ log / ไม่ review |
สิ่งที่ผมเก็บได้จากบทนี้
ในมุมผม Section 5.13 + 5.14 สอนเรื่องที่ใหญ่กว่า security เยอะ — มันสอน ว่าระบบ detection มีค่าเท่ากับคนที่ตอบสนองมัน ครับ เครื่องมือดีแค่ไหน ถ้าคนนั่งดูไม่พอ ก็เป็น monitoring theater บริษัทที่ลงทุน SIEM 10 ล้านบาทแต่ทีมมีแค่ 2 คน security posture แย่กว่าบริษัทที่ใช้ open-source SIEM แต่มีทีม 8 คนที่ tune baseline เป็น
ที่ผมคิดว่าจะติดอยู่ในใจไปนานคือ Preparation อยู่ phase 1 ไม่ใช่ Detection ครับ ตอนผมเดาคำตอบรอบแรกผมตอบ Detection แทบทุกครั้ง 555+ เพราะสัญชาตญาณคือ “incident เริ่มเมื่อ detect” ผิดเลย — incident response ที่ดีเริ่มก่อนเกิดเหตุ ถ้ารอ detect ก่อนค่อยเตรียม ก็คือ improvise ตอนไฟไหม้ และ “ทุก improvise ตอนไฟไหม้ = พลาด” คือ pattern ที่บทนี้ย้ำทุกย่อหน้า
อีกประโยคที่ทำให้ผมเคารพคนทำงาน IR มากขึ้นคือเรื่อง Legal review ก่อนแถลง media — เพราะหลายคำพูดที่ดูเหมือน “รับผิดชอบ” จริงๆ คือ “เพิ่ม liability” ทีม CSIRT ที่ดีจึงไม่ใช่แค่ technical แต่ต้องมี legal counsel อยู่ใน loop ตั้งแต่ phase 1 — Preparation ไม่ใช่แค่เรื่อง playbook technical แต่เรื่อง legal playbook ด้วย
สิ่งที่ผมจดสำหรับวันสอบ — IDS วาง ฝั่งใน firewall (signal-to-noise), Signature IDS จับ zero-day ไม่ได้, Alert fatigue คือ trap จริง, Preparation = phase 1 ไม่ใช่ Detection, Ransomware first action = Contain ไม่ใช่จ่าย, Legal review ก่อน statement, SOAR เสริม SIEM ไม่แทน เจ็ดอันนี้ครอบ trap ส่วนใหญ่ของบท
เชื่อมไปบทถัดไป
ตอนนี้:
- Detect ได้แล้ว (Monitoring)
- Respond ได้แล้ว (IR)
แต่หลังจาก contain เหตุการณ์แล้ว มีอีกขั้นที่หลายคนละเลย — เก็บหลักฐานให้ใช้ทางกฎหมายได้
ถ้า attacker เป็นพนักงานภายใน บริษัทอาจฟ้อง ถ้าเสียหายมาก บริษัทอาจ claim ประกัน ถ้า personal data รั่ว PDPC จะสอบสวน
ทุกกรณีต้องการ digital forensics ที่ทำถูกตั้งแต่ก่อนแตะระบบ
นี่แหละเรื่องของ Section 5.15 — Forensics — แล้วก็ trap ที่ใหญ่ที่สุดของ Domain 5: “power off สัญชาตญาณ = ผิด”
จะคุยต่อตอนหน้าครับ
อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 5: Section 5.13 Security Monitoring Logs, Tools and Techniques + Section 5.14 Security Incident Response Management
