// Defanzivna sigurnost
Blue Team — odbrana i detekcija
Blue Team je tim koji aktivno brani organizaciju od cyber prijetnji. Prate mrežni promet, analiziraju logove, detektuju anomalije i odgovaraju na incidente — 24/7, u realnom vremenu.
Blue Team koristi set alata poznat kao SIEM + SOAR (Security Information and Event Management + Security Orchestration, Automation and Response). Oni su "čuvari" organizacije — prate sve što se dešava na mreži, koreliraju događaje iz različitih izvora i kreiraju alarme kada detektuju sumnjive aktivnosti. Ključne aktivnosti uključuju: threat hunting (proaktivnu potragu za prijetnjama), vulnerability management, incident response i log analizu.
Blue Team mora razumjeti kako razmišlja napadač kako bi mogao predvidjeti i detektovati njegove poteze.
Misija, Vizija, Koncept
Misija
Misija
Izgraditi odbrambene sposobnosti koje organizacijama omogućavaju kontinuiranu detekciju, analizu i odgovor na cyber prijetnje u realnom vremenu.
Vizija
Vizija
Uspostaviti SOC sposobnosti regionalnog nivoa s najmodernijim SIEM/SOAR platformama i timom analitičara obučenih za napredne prijetnje.
Koncept
Koncept
Blue Team Lab integrira open-source i komercijalne sigurnosne alate u jedinstvenu platformu za threat hunting, incident response i log analitiku.
Infrastruktura
| Komponenta | Opis i namjena |
|---|---|
| SIEM platforma | Centralizovano prikupljanje, korelacija i analiza logova iz svih izvora u organizaciji |
| IDS/IPS sistem | Detekcija (IDS) i prevencija (IPS) mrežnih napada u realnom vremenu |
| EDR/XDR rješenje | Zaštita endpointa — monitoring procesa, datoteka i mrežnih veza na svakom uređaju |
| Threat Intelligence feed | Stalni dovod informacija o novim prijetnjama, IoC-ima i TTPs od globalnih izvora |
| SOC monitoring stanice | Namjenski radni prostori s više monitora za analitičare koji prate dashboarde |
| Log storage (NAS/SIEM) | Dugoročno čuvanje logova (minimalno 12 mjeseci) za forenzičke analize |
Hardware
Monitoring stanice
- Radne stanice — min. 32GB RAM, i7/Ryzen 7, SSD 512GB+
- Dual/triple monitor setup — 27" IPS, min. 1080p po analitičaru
- SOC video wall — HDMI procesor + 4× 27" 4K ili 55" 4K TV
- ASUS Tinker Board (×10–15) — distribuirani IDS/IPS senzori
- Raspberry Pi 4 — honeypot i log kolektor čvorovi
Serverska infrastruktura
- Lenovo ThinkSystem SR250 / Dell PowerEdge — SIEM hosting
- NAS uređaj (QNAP TS-873A) — log storage, min. 8TB kapaciteta
- GPU server (RTX 4080+) — AI/ML anomaly detection modeli
- UPS sistem 2200VA+ — zaštita od nestanka struje
- Network TAP uređaj — pasivno kopiranje mrežnog prometa
Software
FREE
Wazuh SIEM
Open-source SIEM/XDR platforma — log analiza, FIM, compliance
FREE
ELK Stack (Elasticsearch + Kibana)
Indeksiranje i vizualizacija logova, custom dashboardi
FREE
Suricata / Zeek (Bro)
Mrežni IDS/IPS — analiza protokola i detekcija anomalija
FREE
TheHive + MISP
SOAR platforma za upravljanje incidentima i razmjenu threat intela
FREE
MITRE ATT&CK Navigator
Mapiranje i vizualizacija napadačkih tehnika i taktika
FREE
OpenVAS / Greenbone
Open-source vulnerability scanner za periodično skeniranje
~4.300€/god
Nessus Professional
Industrijski standard za vulnerability scanning i compliance provjeru
5.000+€/god
Splunk Enterprise
Enterprise SIEM sa naprednom korelacijom i ML detekcijom
FREE
Velociraptor
Endpoint monitoring i incident response platforma