مراقبة التهديدات والتنبيهات SOC

موجز موجز

وتستند لجنة العمليات الفعلية إلى ثلاث ركائز: اكتمال القياس عن بعد، وكشف الجودة، والانضباط التشغيلي (تحديد الأولويات، والتصعيد، وما بعد الحوادث، والتحسين). الهدف: التعرف بسرعة على المتسللين من خلال المؤشرات السلوكية والتوقيعية، والاستجابة داخل SLO وتقليل الإيجابيات الخاطئة دون فقدان التغطية.

بنية رصد SOC

SIEM - استقبال المناسبات والتطبيع والترابط ؛ لوحات القيادة، البحث، التنبيه.
UEBA - التحليلات السلوكية للمستخدم/المضيف، والملامح الأساسية، والحالات الشاذة.
SOAR - أتمتة الاستجابة: إثراء التنبيهات (TI، CMDB)، تنظيم إجراءات الاحتواء.
TI (معلومات التهديد) - IOC/TTP/تغذية الضعف الحرجة ؛ للقواعد والإثراء.
التخزين - «ساخن» 7-30 يومًا للتحقيقات، «بارد» 90-365 + للامتثال/بأثر رجعي.

مصادر السجل (الحد الأدنى كاف)

الهوية والوصول:

IdP/SSO (OIDC/SAML)، MFA، PAM، VPN/ZTNA، أدلة (AD/AAD).

نقاط النهاية:

EDR/AV، Sysmon/ETW (Windows)، auditd/eBPF (Linux)، MDM (الهواتف المحمولة).

الشبكة والمحيط:

جدران الحماية (L3/L7)، WAF/WAAP، المتوازنات (NGINX/Envoy)، DNS، الوكيل، NetFlow/sFlow/Zeek.

السحب والمنصات:

CloudTrail/Activity Logs، KMS/Key Vault، أحداث IAM، Kubernetes (التدقيق، خادم API)، أمن الحاويات.

التطبيقات وقواعد البيانات:

مراجعة حسابات الإدارة، والوصول إلى PII/المدفوعات، و DDL/الحقوق، والأحداث التجارية الحاسمة (الانسحاب، والمكافأة، والدفع).

البريد والتعاون:

اكتشاف التصيد/البريد العشوائي، DLP، نقرات URL، المرفقات.

التطبيع: شكل واحد (على سبيل المثال، ECS/CEF)، الحقول الإلزامية: «timestamp»، «src/dst ip»، «user»، «action»، «resource»، «result'،» request _ id/trace _ id'.

تصنيف التهديدات ورسم خرائط ATT&CK

قم ببناء القواعد ولوحات القيادة في قسم MITRE ATT&CK: الوصول الأولي، والتنفيذ، والمثابرة، وتصعيد الامتياز، والتهرب من الدفاع، والوصول إلى الاعتماد، والاكتشاف، والحركة الجانبية، C2، والتجميع/التفريغ/التأثير.
لكل تكتيك - الحد الأدنى من لوحات الاكتشاف والتحكم «تغطية مقابل الإخلاص».

سياسة التنبيه وتحديد الأولويات

الشدة:

P1 (حرج): C2 نشط، سرقة ATO/رمز ناجحة، تشفير، تهجير الدفع/PII.
P2 (High): التنفيذ في البنية التحتية/السحابة، تصعيد الامتيازات، تجاوز وزارة الخارجية.
P3 (متوسط): شذوذ مشبوه، محاولات متكررة غير ناجحة، سلوك نادر.
P4 (منخفض): ضوضاء، فرضيات، تطابق TI دون تأكيد.
التصعيد: P1 - على الفور تحت الطلب (24 × 7)، P2 - خلال ساعات العمل ≤ ساعة 1، والباقي - من خلال قوائم الانتظار.
التجميع: تجميع التنبيهات حسب الكائن/الجلسة لتجنب «العاصفة».

SLI/SLO/SLA SOC

SLI: وقت الكشف (MTTD)، وقت التأكيد (MTTA)، وقت الاحتواء (MTTC)، نسبة الإيجابية الخاطئة (FP) والفائتة (FN) على مجموعات السيناريوهات.

SLO (أمثلة):

MTTD P1 ≤ 5 دقائق ؛ MTTC P1 ≤ 30 دقيقة.
معدل FP وفقًا لقواعد الشدة العالية ≤ 2 ٪/يوم.
تغطية تقنيات ATT&CK الرئيسية ≥ 90٪ (وجود اكتشاف واحد على الأقل).
جيش تحرير السودان (خارجي): التنسيق مع قطاع الأعمال (على سبيل المثال P1 إخطار المالكين ≤ 15 دقيقة).

قواعد الكشف: التوقيعات، الاستدلال، السلوك

سيجما (مثال: الوصول المشبوه إلى لوحة الإدارة خارج البلاد)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (مثال: زيادة في عمليات تسجيل الدخول الفاشلة + حسابات مختلفة من نفس IP)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

التطبيق (SQL، الوصول خارج الجدول الزمني PII)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA والسياق

موجزات الأنشطة الأساسية حسب المستخدم/الدور/الخدمة (الساعة، ASN، الجهاز).
الشذوذ: IP/ASN نادر، جهاز جديد، تسلسل واجهة برمجة التطبيقات غير عادي، تغيير حاد في وقت النشاط.
أحداث درجة الخطر = الإشارات (TI، الشذوذ، حساسية الموارد) × الأوزان.

SOAR وأتمتة الاستجابة

الإثراء: سمعة TI في IP/domain/hash، CMDB (الذي يمتلك المضيف/الخدمة)، الموارد البشرية (حالة الموظف)، دور IAM.
الإجراءات: عزل المضيف، ومنع IP/ASN/JA3، والسحب المؤقت للرموز/الجلسات، والتناوب القسري للأسرار، وحظر سحب الأموال/تجميد المكافآت.
قضبان الحراسة: للأعمال الحاسمة - جهاز ذو عاملين ؛ TTL على الأقفال.

عمليات SOC

1. الفرز: التحقق من السياق، والتفريغ، وتسوية TI، وتصنيف ATT و CK الأساسي.
2. التحقيق: جمع القطع الأثرية (PCAP/EDR/logs)، الفرضيات، الجدول الزمني، تقييم الأضرار.
3. الاحتواء/الاستئصال: العزل، إلغاء المفتاح/الرمز، الترقيع، الأقفال.
4. الاسترداد: التحكم في النظافة والتناوب ومراقبة التكرار.
5. RCA/Lessons: Post-Incident, Update Rules/Dashboards, Add Test Cases.

ضبط عمليات الكشف ونوعيتها

وضع الظل للقواعد الجديدة: اقرأ، ولكن ليس الحظر.
حزمة المنطقة: مكتبة من الأحداث «الجيدة/السيئة» لاختبارات قواعد CI.
إصلاح نظام التمويل: الاستبعادات حسب المسار/الدور/ASN ؛ قاعدة «الشر افتراضيًا» هي فقط بعد جزر الكناري.
رصد الانجراف: التغيير في النشاط الأساسي → تكييف العتبات/النماذج.

لوحات المعلومات والمراجعات

التشغيل: التنبيهات النشطة، P1/P2، خريطة الهجوم (geo/ASN)، «أفضل المتحدثين»، شريط TI-match.
تكتيكية: تغطية ATT&CK، اتجاهات FP/FN، MTTD/MTTC، مصادر صاخبة.
الأعمال: الحوادث حسب المنتج/المنطقة، التأثير على مؤشرات الأداء الرئيسية (التحويل، الوقت إلى المحفظة، فشل الدفع).

التخزين والخصوصية والامتثال

الاحتفاظ: 90 أيام على الأقل من السجلات «الدافئة»، ≥ أرشيف السنة 1 عند الاقتضاء (التكنولوجيا المالية/المنظمون).
PII/الأسرار: الترميز/الإخفاء، الوصول إلى الأدوار، التشفير.
المتطلبات القانونية: الإبلاغ عن الحوادث، والاحتفاظ بسلاسل القرارات، واتساق الساعة (NTP).

الفريق الأرجواني وفحص التغطية

صيد التهديدات: فرضيات TTP (على سبيل المثال T1059 PowerShell)، استفسارات مخصصة في SIEM.
الفريق الأرجواني: سباقات السرعة الحمراء + الزرقاء المشتركة - تشغيل TTP، والتحقق من المشغلات، ووضع اللمسات الأخيرة على القواعد.
الاختبارات التلقائية للاكتشافات: إعادة تشغيل دورية للأحداث المرجعية (الاختبارات الذرية) في محفز غير حث و «ظل».

خصوصية iGaming/fintech

المجالات الحرجة: تسجيل الدخول/التسجيل، الودائع/الاستنتاجات، العرض الترويجي، الوصول إلى PII/fin. التقارير.
السيناريوهات: ATO/حشو أوراق الاعتماد، اختبار البطاقة، إساءة استخدام المكافآت، الوصول من الداخل إلى المدفوعات.
القواعد: السرعة إلى '/الدخول 'و '/السحب'، والخصوصية و HMAC لخطافات الويب، و mTLS إلى PSP، والكشف للوصول إلى جداول PAN/PII.
محفزات الأعمال: زيادة حادة في فشل الدفع/استرداد التكاليف، وحالات شاذة في التحويلات، ودفعات من الودائع «الصفرية».

أمثلة من الكتب الجاهزة (مختصرة)

P1: تم تأكيد ATO والسحب

1. يحجب SOAR الجلسة، ويستدعي رموز التحديث، ويجمد الدبابيس (TTL 24 ساعة).
2. إخطار مالك المنتج/التمويل ؛ بدء reset/2FA-rebind كلمة السر.
3. تحقق من الحسابات المجاورة حسب عمود الجهاز/IP/ASN ؛ توسيع الكتلة بواسطة مجموعات.
4. RCA: إضافة عمليات الكشف المتكررة، وزيادة عتبة السرعة إلى '/الانسحاب '.

P2: التنفيذ على الخادم (T1059)

1. عزل EDR، إزالة الذاكرة/القطع الأثرية.
2. جرد آخر الودائع/الأسرار ؛ دوران المفتاح.
3. صيد أسطول اللجنة الأوقيانوغرافية الحكومية الدولية ؛ فحص C2 في DNS/Proxy.
4. ما بعد الحادث: قاعدة «Parent = nginx → bash» + Sigma for Sysmon/Linux-audit.

الأخطاء المتكررة

تحميل SIEM الزائد مع الضوضاء دون تطبيع و TTL.
اكتشافات غير محددة على ATT&CK → نقاط عمياء.
لا SOAR/الإثراء - MTTA طويل، روتين يدوي.
تجاهل UEBA/السلوك - تخطي المطلعين «البطيئين».
كتل TI العالمية الصارمة بدون TTL → تخفض حركة المرور التجارية.
عدم وجود اختبارات تراجعية للقواعد.

خارطة طريق التنفيذ

1. سجل الجرد والتطبيع (ECS/CEF)، «الحد الأدنى من المجموعة».
2. مصفوفة طلاء ATT&CK والاكتشافات الأساسية عالية الخطورة.
3. SLO وقوائم الانتظار: P1-P4 وعند الطلب والتصعيد.
4. كتب اللعب SOAR: الإثراء، إجراءات الاحتواء، كتل TTL.
5. UEBA وتسجيل المخاطر: الملفات الشخصية والشذوذ ومراقبة الانجراف.
6. الفريق الأرجواني/اختبارات الكشف: وضع الظل، طيور الكناري، حزمة الانحدار.
7. الإبلاغ والامتثال: الاحتفاظ والخصوصية ولوحات القيادة التجارية.

النتيجة

SOC الناضج هو القياس عن بعد الكامل + الاكتشافات النوعية + انضباط الاستجابة. قم بربط قواعد MITRE ATT&CK، وأتمتة التخصيب والاحتواء في SOAR، وقياس النتيجة باستخدام مقاييس SLO، وتحقق بانتظام من التغطية في الفريق الأرجواني - وستكون مراقبتك مقاومة للضوضاء، وتستجيب بسرعة للتهديدات الحقيقية وتحافظ على مقاييس الأعمال.