GH GambleHub

SOC təhdidlərinin və alertlərinin monitorinqi

Qısa xülasə

Effektiv SOC üç balina üzərində qurulur: tam telemetriya, keyfiyyətli deteksiya və əməliyyat intizamı (prioritetləşmə, eskalasiya, post-insident və təkmilləşdirmə). Məqsəd: davranış və siqnal göstəriciləri ilə təcavüzkarları tez bir zamanda müəyyən etmək, SLO daxilində cavab vermək və örtük itkisi olmadan saxta işlənmələri minimuma endirmək.

SOC-monitorinq arxitekturası

SIEM - hadisələrin qəbulu, normallaşdırılması və korrelyasiyası; dashboard, axtarış, alerting.
UEBA - istifadəçi/hostların davranış analitikası, əsas profillər və anomaliyalar.
SOAR - reaksiyanın avtomatlaşdırılması: alertlərin zənginləşdirilməsi (TI, CMDB), konteynment hərəkətlərinin orkestrləşdirilməsi.
TI (Threat Intelligence) - IOC/TTP/kritik zəifliklərin fidləri; qaydalar və zənginləşdirmə üçün kontekst.
Saxlama - araşdırmalar üçün «isti» 7-30 gün, uyğunluq/retrospektivlər üçün «soyuq» 90-365 +.

Log mənbələri (minimal kifayət qədər)

Kimlik və giriş:
  • IdP/SSO (OIDC/SAML), MFA, PAM, VPN/ZTNA, kataloqlar (AD/AAD).
Son nöqtələr:
  • EDR/AV, Sysmon/ETW (Windows), auditd/eBPF (Linux), MDM (mobil telefonlar).
Şəbəkə və perimetr:
  • Firewall (L3/L7), WAF/WAAP, balans (NGINX/Envoy), DNS, proxy, NetFlow/sFlow/Zeek.
Buludlar və platformalar:
  • CloudTrail/Activity Logs, KMS/Key Vault, IAM hadisələr, Kubernetes (audit, API server), konteyner təhlükəsizliyi.
Proqramlar və DB:
  • Administratorların auditi, PII/ödənişlərə giriş, DDL/hüquqlar, kritik biznes hadisələri (withdraw, bonus, payout).
Poçt və əməkdaşlıq:
  • Fishing/spam detal, DLP, URL klikləri, əlavələr.

Normallaşma: vahid format (məsələn, ECS/CEF), məcburi sahələr: 'timestamp', 'src/dst ip', 'user', 'action', 'resource', 'result', 'request _ id/trace _ id'.

Təhdidlərin taksonomiyası və ATT & CK-kartlaşdırma

MITRE ATT&CK: Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, C2, Cole kəsiyində qaydalar və dashbordlar qurun lection/Exfiltration/Impact.
Hər bir taktika üçün - minimal deteksiya və «coverage vs. fidelity» nəzarət panelləri.

Alertinq və prioritetləşdirmə siyasəti

Severity:
  • P1 (Critical): aktiv C2, uğurlu ATO/tokenlərin oğurlanması, şifrələmə, ödəniş/PII çıxarılması.
  • P2 (High): infrastrukturun/buludun tətbiqi, imtiyazların eskalasiyası, MFA-dan yan keçmə.
  • P3 (Orta): şübhəli anomaliya, təkrar uğursuz cəhdlər, nadir davranış.
  • P4 (Low): səs-küy, fərziyyələr, təsdiq olmadan TI-uyğunluq.
  • Eskalasiyalar: P1 - dərhal on-call (24 × 7), P2 - iş vaxtı ≤ 1 saat, qalanları - növbələr vasitəsilə.
  • Təkrarlanan məlumat: «fırtınadan» qaçmaq üçün obyektlərə/sessiyalara qarışın.

SLI/SLO/SLA SOC

SLI: aşkar vaxtı (MTTD), təsdiq vaxtı (MTTA), containment qədər vaxt (MTTC), yanlış müsbət (FP) və buraxılmış (FN) ssenari klasterlərində payı.

SLO (nümunələr):
  • MTTD P1 ≤ 5 dəq; MTTC P1 ≤ 30 dəq.
  • FP-rate yüksək sevərlik qaydaları ≤ 2 %/gün.
  • Əsas ATT&CK texniki əhatə ≥ 90% (ən azı bir deteksiya var).
  • SLA (xarici): biznes ilə razılaşın (məsələn, P1 sahiblərinin bildirişi ≤ 15 dəq).

Deteksiya qaydaları: işarələr, evristika, davranış

Sigma (misal: ölkə xaricində adminka şübhəli giriş)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (nümunə: uğursuz girişlərin artması + bir IP-dən fərqli hesablar)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

Tətbiq (SQL, qrafik xaricində PII-yə giriş)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA və kontekst

İstifadəçi/rollar/xidmətlər üzrə əsas fəaliyyət profilləri (saat, ASN, qurğular).
Anomaliyalar: nadir IP/ASN, yeni cihaz, qeyri-adi API ardıcıllığı, fəaliyyət vaxtının kəskin dəyişməsi.
Risk score hadisələr = siqnallar (TI, anomaliya, resurs həssaslığı) × çəki.

SOAR və cavabların avtomatlaşdırılması

Zənginləşdirmə: IP/domen/hashin TI nüfuzu, CMDB (host/xidmət sahibi kimdir), HR (işçi statusu), IAM rolu.
Fəaliyyət: host izolyasiyası (EDR), IP/ASN/JA3 bloklanması, tokenlərin/seansların müvəqqəti geri çağırılması, sirlərin məcburi rotasiyası, vəsaitlərin çıxarılmasına qadağa qoyulması/bonusların dondurulması.
Qvard rayları: kritik hərəkətlər üçün - iki faktorlu appruv; TTL kilidlərində.

SOC prosesləri

1. Triaj: kontekstin yoxlanılması, deduplikasiya, TI ilə müqayisə, ATT&CK üzrə ilkin təsnifat.
2. Araşdırma: artefaktların toplanması (PCAP/EDR/log), hipotezlər, taymline, zərərin qiymətləndirilməsi.
3. Containment/Eradication: izolyasiya, açar/tokenlərin geri çağırılması, yamaq, kilidləmə.
4. Bərpa: təmizliyə nəzarət, rotasiya, təkrarlanma monitorinqi.
5. RCA/Dərslər: Post-insident, qaydaları/daşbordları yeniləmək, test halları əlavə etmək.

Deteksiyaların tənzimlənməsi və keyfiyyəti

Yeni qaydalar üçün gölge rejimi: hesablamaq, lakin bloklamaq deyil.
Regression pack: CI test qaydaları üçün «yaxşı/pis» hadisələr kitabxanası.
FP-remediation: relslər/rollar/ASN istisnaları; «default pis» qaydası - yalnız kanaryalardan sonra.
Drift-monitorinq: əsas aktivliyin dəyişdirilməsi → eşik/modellərin uyğunlaşdırılması.

Daşbordlar və rəylər

Əməliyyat: aktiv alertlər, P1/P2, hücum xəritəsi (geo/ASN), «top talkers», TI-uyğunluq lentləri.
Taktiki: ATT & CK-örtük, FP/FN, MTTD/MTTC trendləri, «səs-küylü» mənbələr.
Biznes: məhsullar/regionlar üzrə insidentlər, KPI-yə təsir (konvertasiya, Zaman-to-Wallet, ödəniş uğursuzluqları).

Saxlama, gizlilik və uyğunluq

Retenshn: ən azı 90 gün «isti» log, ≥ 1 il arxiv tələb olunur (fintech/tənzimləyicilər).
PII/sirləri: tokenizasiya/maskalama, rollara giriş, şifrələmə.
Hüquqi tələblər: insident hesabatı, qərar zəncirinin saxlanması, saat ardıcıllığı (NTP).

Purple Team və örtük yoxlama

Threat hunting: TTP haqqında fərziyyələr (məsələn, T1059 PowerShell), SIEM-də ad-hoc sorğular.
Purple Team: Red + Blue birgə sprint - TTP-nin başlaması, tetikleyicilərin yoxlanılması, qaydaların təkmilləşdirilməsi.
Detektorların avtotestləri: qeyri-prod və «kölgə» prodda periodik referans hadisələri (atomic tests).

iGaming/Fintech xüsusiyyətləri

Kritik domenlər: giriş/qeydiyyat, depozitlər/nəticələr, promo, PII/fin. hesabatlar.
Ssenarilər: ATO/credential stuffing, card testing, bonus sui-istifadə, ödənişlərə insayder giriş.
Qaydalar: velocity on '/login ', '/withdraw', idempotentlik və HMAC vebhuk, PSP-yə mTLS, PAN/PII ilə cədvəllərə giriş detektsiyaları.
Biznes tetikləyiciləri: ödənişlərin/chargebackın pozulmasının kəskin artması, dönüşümlərdə anomaliyalar, «sıfır» depozitlərin sıçrayışı.

Runbook nümunələri (qısaldılmış)

P1: Təsdiq edilmiş ATO və vəsaitlərin çıxarılması

1. SOAR sessiyanı bloklayır, refresh tokenlərini geri çağırır, nəticələrini dondurur (TTL 24 saat).
2. Məhsul/maliyyə sahibini xəbərdar edin; password reset/2FA-rebind.
3. Qonşu hesabları device/IP/ASN qrafına görə yoxlayın; klasterlər üzrə bloku genişləndirmək.
4. RCA: '/withdraw 'velocity-eşik gücləndirmək, təkrarlama deteksiyaları əlavə edin.

P2: Serverdə Ekzekuşn (T1059)

1. EDR izolyasiyası, yaddaş/artefaktların çıxarılması.
2. Son deployların/sirlərin inventarı; açarların rotasiyası.
3. IOC-flit ovu; DNS/Proxy C2 yoxlama.
4. Post-hadisə: Sysmon/Linux-audit üçün Rule «Parent = nginx → bash» + Sigma.

Tez-tez səhvlər

Normallaşdırma və TTL olmadan SIEM səs-küy ilə həddindən artıq yükləmə.
ATT&CK → «kor zonalarda» mapping olmadan deteksiya.
SOAR/zənginləşdirmə yoxdur - uzun MTTA, əl rutinləri.
Ignor UEBA/davranış - «yavaş» insayderlərin keçməsi.
TTL olmadan sərt qlobal TI blokları → biznes trafikini kəsir.
Reqressiya test qaydaları yoxdur.

Yol xəritəsi

1. Log inventarizasiya və normallaşdırma (ECS/CEF), «minimal dəsti».
2. ATT & CK-matris örtük və əsas deteksiya yüksək risk.
3. SLO və növbələr: P1-P4, on-call və eskalasiya.
4. SOAR pleybukları: zənginləşdirmə, konteyner hərəkətləri, TTL blokları.
5. UEBA və risk-skor: profillər, anomaliyalar, sürüklənmə monitorinqi.
6. Purple Team/detektor testləri: shadow rejimi, kanaryalar, regression pack.
7. Hesabat və komplayens: retenşn, məxfilik, biznes daşbordları.

Yekun

Yetkin SOC tam telemetriya + keyfiyyətli deteksiya + cavab intizamıdır. Qaydaları MITRE ATT & CK-yə bağlayın, SOAR-da zənginləşdirmə və konteynmenti avtomatlaşdırın, nəticəni SLO göstəriciləri ilə ölçün, Purple Team-də mütəmadi olaraq əhatə dairəsini yoxlayın - və monitorinqiniz səs-küyə davamlı olacaq, real təhdidlərə tez cavab verəcək və biznes metrikalarını qoruyacaq.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.