สารบัญ
📚 อยากเห็นภาพ SOC / SIEM / EDR / Threat Hunting / Incident Response ในภาษาคนก่อน? CyberSecurity Foundation EP.43 SOC + SIEM + EDR + EP.44 Threat Hunting + Deception + EP.46 Incident Response เล่าเครื่องมือพวกนี้ก่อน ตรงนี้เราจะมองในมุม audit — ว่า SOC + IR ขององค์กรพร้อมจริงไหม
ผมเพิ่งเข้าใจว่า Security Monitoring กับ IR (Incident Response / การรับมือเมื่อเกิดเหตุ) คือสองงานที่ “ลำพังที่สุด” และ “เข้มข้นที่สุด” ในวิชาชีพ IT ครับ
ตอนผมอ่าน Section 5.13 + 5.14 รอบแรก สิ่งที่กระทบใจมากไม่ใช่ชื่อเครื่องมือ (SIEM = Security Information and Event Management, IDS = Intrusion Detection System, IPS = Intrusion Prevention System, SOAR = Security Orchestration, Automation and Response) แต่คือภาพของคน ทีม 2 คนนั่งดู SIEM ที่ alert วันละ 5,000 ครั้ง, analyst ที่ต้องตัดสินใจในชั่วโมงตี 3 ว่าจะ isolate server หรือไม่, CSIRT (Computer Security Incident Response Team / ทีมรับมือเหตุการณ์ความปลอดภัย) lead ที่ต้อง brief CEO ภายใน 30 นาทีหลัง breach ขณะที่ตัวเองยังไม่รู้ scope ทั้งหมด งานพวกนี้ไม่มี playbook สำหรับความรู้สึก มีแต่ playbook สำหรับ action ครับ
ที่ทำให้ผมหยุดคิดคือคำว่า monitoring theater ครับ บริษัทที่ “ดู effective แต่จริงๆ ไม่ work” ตั้ง SIEM แต่ไม่มีคนตอบ alert, ตั้ง IDS แต่ไม่มีคน review, ตั้ง CSIRT แต่ไม่เคย drill จริง ทุกองค์กรเริ่มต้นเหมือนกันคือ “มีเครื่องมือครบ” แต่เส้นแบ่งระหว่าง “ป้องกันได้จริง” กับ “monitoring theater” อยู่ที่คนที่นั่งดู และคนที่นั่งดูคือคนที่ทำงานหนักที่สุดในห้องโดยที่ board มองไม่เห็น
ในมุม audit ที่ CRM อธิบาย บทบาทของ auditor เลยไม่ใช่ “ตรวจว่ามีเครื่องมือ” แต่คือ “ตรวจว่ามีคนใช้เครื่องมือเป็นและพอ” คนละ frame เลยครับ ตรงนี้ผมรู้สึกว่าคือหัวใจของ Domain 5 ผมเลยอยากปูตั้งแต่ปัญหาว่าทำไมต้อง monitor ไปจนถึง IR cycle 4 phases เพื่อให้เห็นว่าทุกชิ้นรองรับ “คนที่นั่งดู” คนนั้นยังไง
ตอนที่แล้วเราคุยเรื่องวิธีโจรเข้าและการจ้างคนลองงัด แต่ในชีวิตจริง เราไม่ได้รู้ตัวว่ามีโจรเข้าจนกว่าจะ “เห็น” หรือ “รู้สึก” ว่ามีอะไรผิดปกติ
นี่แหละเรื่องของบทนี้ — 2 capability ที่ต้องทำงานต่อเนื่อง:
- Section 5.13 — Security Monitoring (กล้องวงจรปิด + sensor)
- Section 5.14 — Incident Response (แผนรับมือเมื่อเกิดเหตุ)
ทั้งสองเป็น detective + corrective controls ที่ทำงานเป็น loop ต่อเนื่อง monitor → detect → respond → learn → ปรับ monitor
ในมุมบ้านดิจิทัล กล้องวงจรปิดที่ไม่มีใครดู และระบบสัญญาณเตือนภัยที่ไม่มีแผนรับมือ ทั้งสองอย่างนี้ให้ความปลอดภัยปลอมๆ ทั้งคู่
ส่วนที่ 1 — ทำไมต้อง Monitor
เริ่มจากปัญหา
ลองคิดดู บริษัทตั้ง IDS แล้ว แต่ไม่มีใครดู alert
- มีกล้อง CCTV ที่บันทึกตลอด แต่ไม่มีคนดู
- มี SIEM ที่ alert วันละ 5,000 ครั้ง แต่ทีมมีแค่ 2 คน
- มี firewall log แต่ไม่ได้ review ทุกเดือน
ในแต่ละกรณี เครื่องมืออยู่ครบ แต่ไม่มีคนตอบสนอง
นี่แหละสิ่งที่ ISACA เรียกว่า monitoring theater ดู effective แต่จริงๆ ไม่ work
Monitoring เพื่อ 5 อย่าง
CRM ระบุเป้าหมาย:
- Evidence collection สำหรับการสืบสวน + prosecution
- Proactive deterrence user รู้ว่าโดน monitor → ลด insider threat
- Compliance regulator ต้องการ
- Investigation support เมื่อเกิดเหตุ มีข้อมูลให้ trace
- Identification of security problems ค้นพบปัญหาที่ป้องกันไม่ได้
ส่วนที่ 2 — IDS / IPS
IDS = Detection, IPS = Prevention
ผ่านมาแล้วในตอน 45 — ทบทวนสั้นๆ:
- IDS — detect + alert เท่านั้น ไม่ block
- IPS — detect + block อัตโนมัติ
ในมุมบ้าน:
- IDS = sensor ตรวจจับการเคลื่อนไหว แจ้งเตือน
- IPS = ระบบล็อกประตูอัตโนมัติเมื่อ sensor detect
Network-based vs Host-based
Network-based (NIDS/NIPS)
- มองที่ network traffic
- เห็น attack pattern ที่ผ่าน network
- ไม่เห็นสิ่งที่เกิดในเครื่อง
Host-based (HIDS/HIPS)
- ลงในเครื่องแต่ละเครื่อง
- เห็น file changes, process activity, registry changes
- ไม่เห็น network ถ้าไม่ได้ correlate
ใช้คู่กัน = ครอบคลุมทั้งสองมิติ
Detection Methods
Signature-based
- เปรียบ pattern กับฐานข้อมูล signature ของ attack ที่รู้จัก
- ดี: false positive ต่ำ
- ไม่ดี: จับ zero-day ไม่ได้ — ไม่มี signature
Statistical / Anomaly-based
- เรียนรู้ baseline ของพฤติกรรมปกติ — alert เมื่อมี deviation
- ดี: จับ unknown attacks ได้
- ไม่ดี: false positive สูง — กิจกรรม “แปลกแต่ไม่ใช่ attack” ก็ alert
Neural Network / Machine Learning
- พัฒนาจาก statistical — เรียนรู้ pattern ที่ซับซ้อน
- ใช้ใน UEBA (User and Entity Behavior Analytics)
ข้อสอบ trap: “Signature-based IDS — weakness ที่สำคัญที่สุด?”
- หลอก: false positive สูง
- จริง: จับ zero-day ไม่ได้ เพราะไม่มี signature ในฐานข้อมูล
IDS Placement — Top Trap ของ D5
อันนี้กลับมาอีกแล้ว ออกข้อสอบบ่อยมาก
คำถาม: วาง IDS ที่ไหนเพื่อ detect attacks ที่ผ่าน firewall?
- หลอก: ฝั่ง Internet ของ firewall (รับ attack ทั้งหมด)
- จริง: ฝั่งใน firewall (รับเฉพาะ attack ที่ผ่าน firewall ได้)
เหตุผล:
- ฝั่งนอก = noise มหาศาล (รวม attack ที่ firewall block แล้ว)
- ฝั่งใน = แต่ละ alert มีความหมาย attack ผ่าน firewall เข้ามาถึง internal network แล้ว
ข้อสอบบางครั้งถามเฉพาะเจาะจง ต้องอ่านคำถามให้ดีว่า “detect attacks อะไร” ที่ผ่าน firewall หรือทั้งหมด
IPS Concerns
IPS ที่ตั้งค่าผิด:
- Too sensitive — block legitimate traffic — business operation ล่ม
- Reverse weaponization — attacker ส่ง spoofed packet ที่ trigger IPS ให้ block IP ของ legitimate user
IPS ต้อง tuning ต่อเนื่อง
Honeypots / Honeynets
- Honeypot = ระบบหลอกที่ดูเหมือน real target — ให้ attacker เข้ามา observe
- Honeynet = network ของ honeypots
ใช้สำหรับ:
- ศึกษาวิธีการ attack
- Detection (ใครเข้า honeypot = malicious แน่นอน)
- Threat intelligence
ข้อสอบ trap: “Honeypot detect attacker — concern ของ auditor?”
- หลอก: honeypot สิ้นเปลืองทรัพยากร
- จริง: honeypot ต้อง isolated และ monitored ถ้าไม่ดูแลดีๆ อาจกลายเป็น launching pad ของ attacker เอง
ส่วนที่ 3 — Logging: หลักฐานที่ต้องเชื่อถือได้
ทำไม Log สำคัญ
Log = หลักฐานหลัก สำหรับ investigation, forensics, compliance
ถ้า log ไม่น่าเชื่อถือ — investigation ล่ม, ศาลไม่รับ
Log Content ที่ต้องมี
ตามมาตรฐาน:
- What — resource ที่ถูก access
- Who — user / terminal / system
- When — timestamp (จำเป็นต้อง sync ผ่าน NTP)
- How — access method
- Where from — source IP / location
- Result — success / failure
Log Protection
ปัญหาหลัก: ถ้าผู้โจมตีเข้าได้ สิ่งแรกที่จะทำคือ ลบ log เพื่อไม่ให้ trace กลับมาได้
ป้องกันด้วย:
- Centralized log server — log ไปเก็บที่ที่ผู้โจมตีเข้าไม่ได้
- Write-only storage — log แก้ไม่ได้หลังเขียน
- Cryptographic signing — sign log เพื่อ detect tampering
- Retention policy — เก็บนานพอสำหรับ investigation + regulatory
Admin Activity Logging — Critical
pattern ที่ ISACA เน้นและออกข้อสอบบ่อยที่สุดคือ system administrator activities ไม่ได้ log
เหตุผลที่ผิด: admin คือคนที่มี access สูงสุด ถ้าทำผิดและไม่มี log แล้วใครจะรู้?
ข้อสอบ trap: “auditor finding ที่พบบ่อย?”
จริง: Admin actions ไม่มี logging หรือไม่มีการ review
DBA ที่ดาวน์โหลดข้อมูลลูกค้าทั้งหมดออกไปกลางดึก ถ้าไม่มี log จะรู้ตัวได้ยังไง?
ส่วนที่ 4 — SIEM: ห้องควบคุมกล้องวงจรปิด
SIEM ทำอะไร
SIEM (Security Information and Event Management) = ระบบที่:
- Aggregate log จากหลายแหล่ง
- Correlate events เพื่อจับ attack pattern
- Alert เมื่อพบความผิดปกติ
- เก็บ log สำหรับ investigation
ในมุมบ้าน เปรียบเหมือนห้องควบคุม CCTV ของห้างที่รวม feed จากกล้องทุกจุด มี analyst นั่งดู แล้วมี automated alert เมื่อพบสิ่งผิดปกติ
SIEM ที่ตั้งค่าผิด = Alert Fatigue
ปัญหาที่เจอเกือบทุกองค์กร:
- SIEM alert วันละ 5,000-50,000
- ทีม 2-5 คน
- ดูไม่ทัน → alert จริงถูกฝัง
ข้อสอบ trap: “SIEM มี 10,000+ alerts/day ส่วนใหญ่ถูก ignore — concern หลัก?”
- หลอก: SIEM ต้องการ storage มากขึ้น
- จริง: Alert fatigue incident จริงถูกฝังในกอง noise ต้อง tune baseline ลด false positive
SIEM Tuning
หลักของ SIEM ที่ดี:
- Baseline ของ normal behavior ที่ตั้งให้เหมาะกับองค์กรเอง
- Severity tiering — alert level ที่แตกต่างกัน
- Use cases — กฎที่จับ specific attack pattern
- Continuous tuning — ปรับตาม false positive ที่เจอ
UEBA — Behavior-based
UEBA (User and Entity Behavior Analytics) = ML (Machine Learning)-based detection ที่เรียนรู้พฤติกรรมปกติของแต่ละ user/entity
ตัวอย่าง:
- พนักงาน A ปกติ login จากกรุงเทพในเวลางาน
- วันนี้ login จากต่างประเทศตี 3 → UEBA flag เป็น anomaly
UEBA จับ insider threat + compromised credential ได้ดีกว่า signature เยอะ
ส่วนที่ 5 — Incident Response (Section 5.14)
IR เป็น Control เหมือนกัน
หลายคนคิดว่า IR คือ “ทำตอนเกิดเหตุ” ผิดเลย
IR ที่ดีคือ capability ที่เตรียมไว้ ก่อนเกิดเหตุ องค์กรที่เคยซ้อม IR เสียหายน้อยกว่าองค์กรที่ improvise ตอนเกิดเหตุเยอะมาก
NIST 800-61: 4 Phases of IR (NIST = National Institute of Standards and Technology — มาตรฐานสหรัฐ)
1. Preparation ↓2. Detection / Identification / Analysis ↓3. Containment / Eradication / Recovery ↓4. Post-Incident ActivityPhase 1 — Preparation
ทำก่อนเกิดเหตุ:
- กำหนดว่าอะไรคือ “incident”
- สร้าง IR policy
- ตั้ง CSIRT (Computer Security Incident Response Team — ดูคำอธิบายข้างบน)
- กำหนด communication chain
- เตรียม tools (forensic kit)
- Train team
- ซ้อม (tabletop exercises)
ข้อสอบ trap: “FIRST phase ของ IR?”
- หลอก: Detection
- จริง: Preparation ต้องเตรียมก่อนเกิดเหตุ ไม่ใช่ตอนเกิดแล้วค่อยทำ
Phase 2 — Detection / Identification / Analysis
- รับ alert จาก SIEM, IDS, user report
- Validate ว่าเป็น incident จริง (ไม่ใช่ false positive)
- Classify severity
- Document timeline
Phase 3 — Containment / Eradication / Recovery
Containment = หยุดการแพร่ ถ้า ransomware เริ่ม encrypt isolate เครื่องนั้นทันที
- Short-term containment (immediate)
- Long-term containment (สักระยะระหว่าง investigate)
Eradication = กำจัด threat ลบ malware, ปิดช่องโหว่, change credentials
Recovery = restore ระบบ restore from backup, monitor ว่าไม่มี re-infection
ข้อสอบ trap: “ค้นพบ ransomware first action?”
- หลอก: จ่าย ransom
- จริง: Contain isolate affected systems ทันที เพื่อป้องกัน lateral spread
Phase 4 — Post-Incident
หลายองค์กรพลาดขั้นนี้ พอ recovery เสร็จก็ถือว่าจบเลย
แต่ขั้นนี้สำคัญที่สุดในระยะยาว:
- Lessons learned meeting
- Update IR policy + playbook
- Identify gap — control ไหนล้ม
- Share findings (กับทีมอื่น, industry CERT)
ส่วนที่ 6 — CSIRT + IRP
CSIRT — ทีมรับมือ
CSIRT (Computer Security Incident Response Team) = ทีมที่ designate ให้รับมือ incident
ความรับผิดชอบ:
- Determine scope ของ damage
- Assess data compromise
- Implement recovery
- Supervise additional measures
CSIRT ต้องตั้ง ก่อนเกิดเหตุ ไม่ใช่มาตั้งทีมตอนไฟไหม้
10 ประเภท Incident ที่ CSIRT ต้องเตรียมรับมือ
CRM ระบุ taxonomy ของ incident ที่ CSIRT ต้องมี playbook รองรับ ไม่ใช่ทุก incident จะจัดเหมือนกัน ransomware ต่างจาก insider data theft ต่างจาก hardware ที่หายไปจากออฟฟิศ ถ้าไม่แยก type คือใช้ response เดียวกับทุกเหตุการณ์ ผลคือทำอะไรก็ผิดสักอย่าง
10 ประเภทที่ CSIRT ต้องครอบ:
- Web defacement เว็บโดนแก้หน้าตา ภาพลักษณ์เสียทันที
- Virus / malware infection มัลแวร์แพร่ในเครื่อง / ในเครือข่าย
- Unauthorized access มีคนเข้าระบบโดยไม่มีสิทธิ์
- IDS-detected attacks alert จาก IDS ที่ต้อง investigate (ดูตัวอย่าง IDS alert ในตอนที่ 29 ที่ลิงก์ปลายบท)
- Hardware theft laptop / server / storage หายไปจากออฟฟิศ
- Root compromise attacker ได้ root / domain admin
- Physical security breach มีคนเข้า data center โดยไม่มีสิทธิ์
- Media defacement social media account ขององค์กรโดน hijack
- Forensic investigation requests กฎหมาย / regulator / ฝ่ายอื่นขอ forensic
- Insider threat / data exfiltration พนักงานเอาข้อมูลออก
ตารางสรุป first response + เกณฑ์ escalate:
| Incident type | First responder action | Escalation criteria |
|---|---|---|
| Web defacement | Snapshot หน้าเว็บก่อน restore + แจ้ง comms ทันที | กระทบลูกค้า / ขึ้นข่าว → escalate CSIRT lead + PR |
| Malware infection | Isolate host จาก network + เก็บ memory image | แพร่ ≥ 5 host หรือ touch critical server → CSIRT lead |
| Unauthorized access | Disable account + เก็บ log session + change credential ที่เกี่ยวข้อง | privileged account / customer data → CISO (Chief Information Security Officer) + legal |
| IDS-detected attack | Validate ว่า true positive + correlate กับ SIEM | confirmed active attack → contain + CSIRT |
| Hardware theft | แจ้งความ + ระบุข้อมูลที่อยู่ในเครื่อง + revoke credential | มี customer / PII (Personally Identifiable Information) data → DPO (Data Protection Officer) + regulator timer |
| Root compromise | Isolate ทั้ง host + assume lateral movement | ใน production / domain controller → full CSIRT activate |
| Physical breach | กล้อง CCTV + access log + แจ้ง facility | data center / critical area → CISO + legal |
| Media defacement | ตัดการ post + reset credential + contact platform | กระทบ brand / ลูกค้าเข้าใจผิด → PR + legal |
| Forensic request | Preserve evidence ตาม chain of custody | ขอจากกฎหมาย / regulator → legal counsel |
| Insider threat | ระงับ access + เก็บ log activity ของ user | data ออก ≥ threshold → HR + legal + DPO |
ที่น่าคิดคือ incident type ที่ 8 (media defacement) หลายองค์กรไม่นับเป็น security incident เพราะ social media ไม่ได้อยู่ใน infrastructure ของตัวเอง แต่ในมุม audit ถ้า CSIRT ไม่มี playbook สำหรับเรื่องนี้ พอเกิดจริงก็ improvise และ improvise = พลาด
IRP (Incident Response Plan / แผนรับมือเหตุการณ์ความปลอดภัย)
เอกสารที่ระบุ:
- รายละเอียดของแต่ละ phase
- Communication plan (legal review ก่อน external statement)
- Integration กับ DRP/BCP
- Critical asset priorities
- Mandatory drills + tabletop exercises
10 Best Practices ของ IRP ที่ดี
CRM list 10 ข้อที่แยก IRP “อยู่บน paper” ออกจาก IRP “ใช้ได้จริงตอนไฟไหม้” หลายข้อฟังดูพื้นๆ แต่เป็นจุดที่บริษัทจริงพลาดบ่อยที่สุด:
- Develop incident procedures เขียน procedure แยกตาม incident type (ไม่ใช่ procedure เดียวครอบทุกเรื่อง ransomware ≠ data exfil ≠ DDoS)
- Communication plans กำหนดให้ครบทั้ง internal stakeholder, external party, regulator, media แต่ละกลุ่มเนื้อหา + ผู้พูด + timing ต่างกัน
- Integrate with DRP and BCP IRP ไม่ใช่เกาะลำพัง ต้อง hand-off ไป DRP ตอน containment เสร็จ และ BCP ตอน operation ต้อง continue ระหว่าง recovery
- Emergency contact list list ที่ reach ได้ 24/7 + test ทุก quarter ว่าเบอร์ยังใช้ได้ + คนยังอยู่บริษัท
- Test the plan tabletop exercise ทุก quarter + full simulation ทุกปี IRP ที่ไม่ test = IRP ที่ไม่รู้ว่าใช้ได้จริงไหม
- Training แยก 3 ระดับ: CSIRT (deep technical), first responder (containment basics), general user (วิธี report ที่ถูก)
- Buy-in from business board sign-off + budget allocated IR ที่ไม่มี budget = IR ที่ไม่มีเครื่องมือ + ไม่มีคน
- Credible capability อย่าสัญญา capability ที่ทำไม่ได้ ถ้าบอก customer ว่า “เราตอบสนองภายใน 1 ชั่วโมง” แต่จริงๆ ทีมว่างแค่เวลางาน = liability เพิ่ม
- Document management version controlled + access ได้ตอน incident หลายบริษัทเก็บ IRP ใน SharePoint ที่ down พร้อมระบบหลัก ตอนเกิดเหตุเลยเปิดอ่านไม่ได้
- Identify critical assets priority order ของ asset ที่ต้อง protect + recover ก่อน ถ้า ransomware ใส่หมด ต้องรู้ทันทีว่า restore ตัวไหนก่อน
ข้อที่เป็น trap จริงสำหรับ auditor คือข้อ 8 (credible capability) บริษัทที่เขียน IRP สวยหรู เช่น “respond ภายใน 15 นาที, full forensic ภายใน 24 ชั่วโมง” แต่ทีมจริงมี 2 คน ทำกะวันละ 8 ชั่วโมง = IRP นั้นโกหก และเวลาเกิดจริงจะกลายเป็น regulatory liability เพิ่ม
ข้อสอบ trap: “IRP มี แต่ไม่ได้ test 3 ปี — risk?”
- หลอก: Documentation outdated
- จริง: IRP อาจล้าสมัย ทีมอาจ undertrained communication chain อาจล้าสมัย IRP ที่ไม่ test = IRP ที่อาจใช้ไม่ได้จริง
Communication — ห้ามรีบประกาศ
ข้อสอบ trap: “ก่อนสื่อสารกับ media — อะไรต้องเกิดก่อน?”
- หลอก: สื่อสารทันทีเพื่อรักษา reputation
- จริง: Legal review เสร็จก่อน ข้อความที่ผิดอาจสร้าง legal liability เพิ่มจาก breach อีกชั้น
ส่วนที่ 7 — SOAR: Auto-Response
ปัญหา: Human Speed ไม่ทัน
Attack สมัยใหม่ทำงานเป็น milliseconds ส่วน human response เป็น minutes-hours
ที่อันตรายที่สุดคือ ransomware ที่ encrypt 100GB ใน 5 นาที รอให้ analyst ดู alert แล้วตอบสนอง = สายเกินไปแล้ว
SOAR — Automation
SOAR (Security Orchestration, Automation and Response) = ระบบที่:
- Orchestrate — เชื่อม security tools หลายตัว
- Automate — ทำ task ที่เคยทำมือ
- Respond — มี playbook อัตโนมัติ
ตัวอย่าง playbook:
- SIEM detect ransomware behavior
- → SOAR isolate affected host (ผ่าน EDR)
- → SOAR block source IP (ผ่าน firewall)
- → SOAR notify CSIRT
- → ทำใน 5 วินาที ไม่ต้องรอคน
6 ประโยชน์ของ SOAR
CRM list 6 ข้อที่ทำให้ SOAR คุ้มลงทุน (เทียบกับการขยายทีม analyst เพิ่ม):
- Visibility central dashboard ที่รวม alert + ticket + response status จากทุกเครื่องมือ ไม่ต้องสลับ tab ระหว่าง SIEM / EDR / ticketing
- Cost reduction automate งาน Tier 1 (validate alert, enrich context, lookup IOC) analyst เอาเวลาไป Tier 2/3 ที่ต้องใช้สมอง
- Advocacy / Standardization ทุก response ผ่าน playbook เดียวกัน ไม่ขึ้นกับว่า analyst คนไหนรับเคส (ลด variability ของ quality)
- Flexibility ปรับ playbook ได้โดยไม่ต้องเขียน code drag-drop workflow หรือ low-code
- Collaboration workflow + ticket integration ที่ทำให้ทีม IT, security, legal, comms เห็น status เดียวกัน
- Operations efficiency MTTR (Mean Time To Respond) ลดลง + ลด human error จากการ copy-paste IOC (Indicator of Compromise) ผิด
ที่น่าสนใจในมุม audit คือข้อ 3 (standardization) ก่อนมี SOAR response quality ขึ้นกับว่าเวรไหนรับ alert คนเก๋าทำดี คนใหม่ทำพลาด หลังมี SOAR ทุกเวรได้ playbook เดียวกัน = quality floor ขึ้น = audit defensible ขึ้นด้วย
SOAR vs SIEM
ข้อสอบ trap: “SOAR vs SIEM ต่างกัน?”
- หลอก: SOAR replace SIEM
- จริง: SIEM detect + alert; SOAR respond + remediate เสริมกัน ไม่แทนกันนะครับ
มุมผู้บริหาร: SOAR + PDPA 72 ชั่วโมง
PDPA (Personal Data Protection Act / พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ของไทย) กำหนดให้แจ้ง breach ภายใน 72 ชั่วโมง รวมเวลา detect + investigate + draft notification
ถ้า detect ช้า เวลาเหลือ investigate น้อย notification ที่ผิดพลาด = regulatory penalty เพิ่มอีก
SOAR ที่ลด MTTD (Mean Time To Detect) = เพิ่มเวลาให้ทีม investigate = notification ที่แม่นยำขึ้น (MTTD จับคู่กับ MTTR ที่อธิบายไปข้างบน)
เชื่อม Domain 4
หลายเรื่องในบทนี้ต่อจาก Domain 4:
- Log management ใน Domain 4 บอกว่า log ต้องเก็บอะไรและจัดการยังไง
- Domain 5 ขยาย log ไหนมี security significance + เอามา correlate ใน SIEM
- Incident management ใน Domain 4 (operational incident เช่น server ล่ม) ≠ Security incident response (จาก attack)
- BCP/DRP ใน Domain 4 — IRP ต้อง integrate กับ BCP/DRP ด้วย
Trap Summary
| สถานการณ์ | คำตอบหลอก | คำตอบจริง |
|---|---|---|
| Signature IDS — weakness สำคัญ | false positive สูง | จับ zero-day ไม่ได้ |
| IDS placement detect attacks ผ่าน firewall | ฝั่งนอก firewall | ฝั่งในระหว่าง firewall + internal |
| SIEM 10K alerts/day ส่วนใหญ่ถูก ignore | ต้องการ storage เพิ่ม | Alert fatigue — ต้อง tune baseline |
| Log retention — verify อะไร | ขนาด file | ระยะเวลาตรงกับ investigation + legal |
| Honeypot — concern | สิ้นเปลือง resource | ต้อง isolated + monitored |
| FIRST phase IR | Detection | Preparation |
| Ransomware — first action | จ่าย | Contain — isolate ทันที |
| IRP ไม่ test 3 ปี | docs outdated | Plan ที่อาจใช้ไม่ได้ — team untrained |
| SOAR vs SIEM | SOAR แทน SIEM | SOAR respond, SIEM detect — เสริมกัน |
| ก่อนแถลง media | แถลงทันที | Legal review เสร็จก่อน |
| Auditor finding บ่อย | log อะไร | Admin actions ไม่ log / ไม่ review |
เรื่องที่ลึกกว่านี้อ่านได้ที่:
ตอนนี้ผมตั้งใจคุยเฉพาะมุม audit — ว่า monitoring + IR ขององค์กรพร้อมจริงไหม รายละเอียดเชิงเครื่องมือ (วาง IDS ยังไง / SOC ทำงานยังไงเชิงระบบ / Threat Hunting คืออะไร / NIST 800-61 phase ลึกๆ) อยู่ในซีรีส์ Cybersecurity Foundation ที่ผมเขียนไปก่อนหน้าครับ ถ้าใครอยากเจาะ technical ก่อนกลับมาอ่าน audit angle ตอนนี้ก็แวะตามลิงก์ได้
Monitoring + IDS deep
- IDS 4-part components (sensors / analyzers / console / UI) + 6 features + 4 limitations + IDS Policy (terminate vs trace) + WIPS + IDS/IPS 7 best practices → Cybersecurity Foundation EP.29 — IDS / IPS / WAF / RASP (ขยายเพิ่มรอบนี้)
- SOC tiers L1 / L2 / L3 + 9 SOC activities + SIM vs SEM split + SIEM agent vs agentless + SIEM 8 benefits / 7 features / 10 best practices → Cybersecurity Foundation EP.43 — SOC + SIEM + EDR (ขยายเพิ่มรอบนี้)
- Threat Hunting + Honeypot (high-interaction vs low-interaction) + Deception technology + Honeynet → Cybersecurity Foundation EP.44 — Threat Hunting + Deception
- NIST 800-61 4-phase IR (Preparation / Detection-Analysis / Containment-Eradication-Recovery / Post-Incident) + NIST 800-34 plan family (COOP / ISCP / CIP / Cyber IRP / OEP / BRP) → Cybersecurity Foundation EP.46 — Incident Response
- FCAPS framework (ISO/IEC 10040) → Cybersecurity Foundation EP.43
ที่ผมแยกออกแบบนี้เพราะ Domain 5 มอง monitoring + IR ในแบบ “auditor ต้อง verify อะไร” — ส่วน Cybersecurity Foundation มองในแบบ “ทีม security ต้อง build อะไร” คนละมุม แต่ครอบ topic เดียวกัน อ่านคู่กันแล้วเห็นภาพครบทั้ง builder + auditor view
สิ่งที่ผมเก็บได้จากบทนี้
ในมุมผม Section 5.13 + 5.14 สอนเรื่องที่ใหญ่กว่า security เยอะครับ มันสอนว่า ระบบ detection มีค่าเท่ากับคนที่ตอบสนองมัน เครื่องมือดีแค่ไหน ถ้าคนนั่งดูไม่พอ ก็เป็น monitoring theater บริษัทที่ลงทุน SIEM 10 ล้านบาทแต่ทีมมีแค่ 2 คน security posture แย่กว่าบริษัทที่ใช้ open-source SIEM แต่มีทีม 8 คนที่ tune baseline เป็น
ที่ผมคิดว่าจะติดอยู่ในใจไปนานคือ Preparation อยู่ phase 1 ไม่ใช่ Detection ครับ ตอนผมเดาคำตอบรอบแรกผมตอบ Detection แทบทุกครั้ง 555+ เพราะสัญชาตญาณคือ “incident เริ่มเมื่อ detect” ผิดเลย incident response ที่ดีเริ่มก่อนเกิดเหตุ ถ้ารอ detect ก่อนค่อยเตรียม ก็คือ improvise ตอนไฟไหม้ และ “ทุก improvise ตอนไฟไหม้ = พลาด” คือ pattern ที่บทนี้ย้ำทุกย่อหน้า
อีกประโยคที่ทำให้ผมเคารพคนทำงาน IR มากขึ้นคือเรื่อง Legal review ก่อนแถลง media เพราะหลายคำพูดที่ดูเหมือน “รับผิดชอบ” จริงๆ คือ “เพิ่ม liability” ทีม CSIRT ที่ดีจึงไม่ใช่แค่ technical แต่ต้องมี legal counsel อยู่ใน loop ตั้งแต่ phase 1 Preparation ไม่ใช่แค่เรื่อง playbook technical แต่เรื่อง legal playbook ด้วยครับ
สิ่งที่ผมจดสำหรับวันสอบ — IDS วาง ฝั่งใน firewall (signal-to-noise), Signature IDS จับ zero-day ไม่ได้, Alert fatigue คือ trap จริง, Preparation = phase 1 ไม่ใช่ Detection, Ransomware first action = Contain ไม่ใช่จ่าย, Legal review ก่อน statement, SOAR เสริม SIEM ไม่แทน เจ็ดอันนี้ครอบ trap ส่วนใหญ่ของบท
เชื่อมไปบทถัดไป
ตอนนี้:
- Detect ได้แล้ว (Monitoring)
- Respond ได้แล้ว (IR)
แต่หลังจาก contain เหตุการณ์แล้ว มีอีกขั้นที่หลายคนละเลย — เก็บหลักฐานให้ใช้ทางกฎหมายได้
ถ้า attacker เป็นพนักงานภายใน บริษัทอาจฟ้อง ถ้าเสียหายมาก บริษัทอาจ claim ประกัน ถ้า personal data รั่ว PDPC จะสอบสวน
ทุกกรณีต้องการ digital forensics ที่ทำถูกตั้งแต่ก่อนแตะระบบ
นี่แหละเรื่องของ Section 5.15 — Forensics — แล้วก็ trap ที่ใหญ่ที่สุดของ Domain 5: “power off สัญชาตญาณ = ผิด”
จะคุยต่อตอนหน้าครับ
อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 5: Section 5.13 Security Monitoring Logs, Tools and Techniques + Section 5.14 Security Incident Response Management
