Cloud Security Monitoring SOP / SOP การเฝ้าระวัง Cloud Security¶

รหัสเอกสาร: OPS-SOP-018 เวอร์ชัน: 1.0 การจัดชั้นความลับ: ใช้ภายใน อัปเดตล่าสุด: 2026-02-15

ขั้นตอนสำหรับ SOC ในการเฝ้าระวัง AWS, Azure และ GCP ครอบคลุม log sources, critical detections, cloud attack patterns และ response actions เฉพาะ cloud

Cloud Log Sources¶

AWS¶

Log Source	บริการ	เหตุการณ์สำคัญ	ลำดับ
CloudTrail	API calls ทั้งหมด	IAM changes, S3 access, EC2	🔴 Critical
CloudTrail Data Events	S3 object-level, Lambda	GetObject, PutObject, Invoke	🔴 Critical
GuardDuty	Threat detection	Crypto mining, recon, C2	🔴 Critical
VPC Flow Logs	Network traffic	Accept/reject, traffic patterns	🟠 High
Config	Resource changes	Configuration compliance	🟡 Medium
IAM Access Analyzer	การวิเคราะห์สิทธิ์	Policy ที่กว้างเกินไป	🟡 Medium
Security Hub	Findings รวม	CIS benchmarks	🟡 Medium

Azure¶

Log Source	บริการ	เหตุการณ์สำคัญ	ลำดับ
Activity Log	Resource operations	Create, delete, modify	🔴 Critical
Entra ID Sign-in	Authentication	Success, failure, MFA	🔴 Critical
Entra ID Audit	Identity changes	Role assignments	🔴 Critical
Defender for Cloud	Threat detection	Security alerts	🔴 Critical
NSG Flow Logs	Network traffic	Accept/deny flows	🟠 High
Key Vault Diagnostics	Secret access	Key/secret operations	🟠 High

GCP¶

Log Source	บริการ	เหตุการณ์สำคัญ	ลำดับ
Cloud Audit Logs (Admin)	Admin operations	IAM, resource create/delete	🔴 Critical
Cloud Audit Logs (Data)	Data access	BigQuery, GCS read/write	🔴 Critical
Security Command Center	Threat detection	Findings, vulnerabilities	🔴 Critical
VPC Flow Logs	Network traffic	Source/dest, ports	🟠 High

Cloud Detections ที่สำคัญ¶

Identity & Access¶

Detection	คำอธิบาย	Severity	MITRE
Root/global admin login	ใช้ root account หรือ global admin	🔴 P1	T1078.004
MFA ถูกปิด	MFA ถูกลบออกจาก account	🔴 P1	T1556
กำหนด admin role ใหม่	Privilege escalation	🔴 P1	T1098
สร้าง API key	Long-lived credential	🟠 P2	T1098.001
Login จากประเทศผิดปกติ	Impossible travel	🟠 P2	T1078.004
Failed login มากเกินไป	Brute-force attempt	🟠 P2	T1110

Data Exfiltration¶

Detection	คำอธิบาย	Severity	MITRE
Bucket ถูกเปิด public	Storage เข้าถึงได้จากภายนอก	🔴 P1	T1537
ดาวน์โหลดข้อมูลจำนวนมาก	ปริมาณผิดปกติ	🔴 P1	T1530
แชร์ Snapshot ภายนอก	Disk/DB snapshot ไปยัง account อื่น	🔴 P1	T1537

Infrastructure Attacks¶

Detection	คำอธิบาย	Severity	MITRE
Crypto mining	GuardDuty/Defender/SCC finding	🔴 P1	T1496
Security group 0.0.0.0/0	เปิด inbound ทั้งหมด	🔴 P1	T1562.007
Logging ถูกปิด	CloudTrail/audit ถูกหยุด	🔴 P1	T1562.008

Cloud Incident Response¶

Response Actions ตาม Platform¶

Action	AWS	Azure	GCP
ยกเลิก session	`delete-login-profile`	Revoke sessions Entra	`gcloud auth revoke`
ปิด API key	`update-access-key --status Inactive`	Reset credentials	`keys disable`
แยก instance	เปลี่ยน SG เป็น deny-all	ลบ NSG deny	ลบ firewall rules
บล็อก IP	WAF/Security Group	NSG/Azure Firewall	Cloud Armor
เก็บหลักฐาน	สร้าง EBS snapshot	สร้าง disk snapshot	สร้าง disk snapshot
ปิด user	`update-user --no-login`	Block sign-in Entra	`update --disabled`

Cloud IR Workflow¶

flowchart TD
    A[Cloud Alert] --> B{Auto-remediation?}
    B -->|ใช่| C[SOAR containment]
    B -->|ไม่| D[SOC Analyst triage]
    C --> E[แจ้ง SOC review]
    D --> F{ยืนยัน incident?}
    F -->|FP| G[ปิด + tune rule]
    F -->|TP| H[Containment]
    H --> I[ยกเลิก credentials]
    H --> J[แยก resource]
    H --> K[เก็บหลักฐาน]
    I --> L[สืบสวน]
    J --> L
    K --> L
    L --> M[Remediation]
    M --> N[แก้ root cause]
    M --> O[หมุน credentials ทั้งหมด]
    M --> P[Post-incident review]

    style A fill:#3b82f6,color:#fff
    style H fill:#dc2626,color:#fff
    style M fill:#22c55e,color:#fff

CSPM ตรวจสอบประจำ¶

รายวัน¶

ตรวจสอบ	เครื่องมือ
Public buckets/storage	S3 Access Analyzer / Defender / SCC
IAM ที่กว้างเกินไป	IAM Access Analyzer / Entra PIM / IAM Recommender
Storage ไม่เข้ารหัส	Config / Defender / SCC
Security groups เปิดกว้าง	Config / Defender / SCC
MFA ไม่เปิด	IAM Credential Report / Entra / Org Policy

รายสัปดาห์¶

ตรวจสอบ	เครื่องมือ
CIS benchmark compliance	AWS Config / Defender / SCC
Resources ที่ไม่ได้ใช้	Cost Explorer / Cost Management / Billing
Credentials หมดอายุ/ไม่ได้ใช้	IAM Credential Report / Entra / IAM

Multi-Cloud SIEM Integration¶

Log Ingestion Checklist¶

AWS CloudTrail → SIEM (ผ่าน S3 + SQS)
AWS GuardDuty → SIEM
AWS VPC Flow Logs → SIEM (sampled)
Azure Activity Log → SIEM (ผ่าน Event Hub)
Azure Entra ID → SIEM (ผ่าน Event Hub)
Azure Defender alerts → SIEM
GCP Audit Logs → SIEM (ผ่าน Pub/Sub)
GCP SCC findings → SIEM
GCP VPC Flow Logs → SIEM (sampled)

ตัวชี้วัด¶

ตัวชี้วัด	เป้าหมาย
Cloud log ingestion uptime	≥ 99.5%
Cloud alerts MTTD	< 5 นาที
Cloud alerts MTTR (P1)	< 30 นาที
CSPM compliance score	≥ 90%
Public resource detection	< 15 นาที

Cloud Log Sources Priority¶

แหล่ง Log	AWS	Azure	GCP	ลำดับ
Identity/IAM	CloudTrail	Azure AD	Cloud Audit	P1
Network	VPC Flow Logs	NSG Flow Logs	VPC Flow Logs	P1
Storage	S3 Access Logs	Storage Analytics	GCS Audit	P2
Compute	EC2 Logs	VM Activity	GCE Logs	P2
Container	EKS Audit	AKS Audit	GKE Audit	P2
Serverless	Lambda Logs	Function Logs	Cloud Functions	P3
WAF	AWS WAF	Azure WAF	Cloud Armor	P1

Cloud MITRE ATT&CK Mapping¶

Technique	คำอธิบาย	Detection	Platform
T1078.004	Cloud account abuse	Impossible travel, unusual IP	All
T1537	Transfer data to cloud account	Large S3/Blob transfers	AWS/Azure
T1580	Cloud infrastructure discovery	API enumeration spike	All
T1525	Implant container image	Unauthorized image push	All
T1552.005	Cloud credentials in files	Credential scanning	All

Multi-Cloud Dashboard Template¶

Panel	ตัวชี้วัด	เป้าหมาย
IAM Overview	Failed logins, new admin accounts, MFA disabled	Zero MFA-disabled admins
Network	Unusual outbound, new security groups, exposed ports	Zero public-facing DB
Storage	Public buckets/blobs, large downloads	Zero public buckets
Compute	Unauthorized instances, crypto mining indicators	Zero unauthorized
Cost Anomaly	Unexpected cost spikes (may indicate compromise)	Within 10% budget

Cloud Security KPIs¶

ตัวชี้วัด	เป้าหมาย	ปัจจุบัน
Cloud asset coverage (monitored)	≥ 95%	[XX]%
Public-facing resource audit	รายสัปดาห์	[ระบุ]
IAM over-privilege findings	0 critical	[XX]
Compliance score (CIS Benchmark)	≥ 90%	[XX]%

Cloud-specific Detection Rules¶

AWS Detection Priorities¶

Use Case	CloudTrail Event	Severity
Root login	ConsoleLogin (root)	Critical
S3 public	PutBucketPolicy	High
IAM key created	CreateAccessKey	Medium
SecurityGroup open	AuthorizeSecurityGroupIngress (0.0.0.0)	High
CloudTrail disabled	StopLogging	Critical

Azure Detection Priorities¶

Use Case	Activity Log Event	Severity
Risky sign-in	Risk Detection	High
MFA disabled	Disable strong auth	Critical
Resource exposed	Network rule change	High
Privilege escalation	Add role assignment	High
Audit log disabled	Diagnostic setting delete	Critical

Multi-Cloud Monitoring Strategy¶

Capability	AWS	Azure	GCP
Activity Logs	CloudTrail	Activity Log	Audit Log
Flow Logs	VPC Flow	NSG Flow	VPC Flow
Threat Detection	GuardDuty	Defender	SCC
Config Audit	Config	Policy	Asset Inv.
SIEM Integration	S3 → SIEM	EventHub → SIEM	Pub/Sub → SIEM

Cloud Alert Priority¶

Alert	Platform	Priority
Root/admin login	All	Critical
Public storage	AWS/Azure/GCP	High
MFA disabled	All	Critical
Unusual API calls	All	Medium

Cloud Compliance Check¶

Standard	AWS Control	Azure Control
CIS Benchmark	Config Rules	Policy
PCI DSS	SecurityHub	Defender

เอกสารที่เกี่ยวข้อง¶

Log Source Matrix — แหล่งข้อมูลทั้งหมด
SOC Automation Catalog — Cloud automations
Alert Tuning SOP — การ tune cloud alerts
Third-Party Risk — ความเสี่ยง cloud vendor