نظارت بر تهدید و هشدار SOC

خلاصه ای کوتاه

SOC موثر بر سه ستون ساخته شده است: کامل بودن تله متری، تشخیص کیفیت و نظم عملیاتی (اولویت بندی، تشدید، پس از حادثه و بهبود). هدف: به سرعت شناسایی مزاحمان توسط شاخص های رفتاری و امضا، پاسخ در SLO و به حداقل رساندن مثبت کاذب بدون از دست دادن پوشش.

معماری نظارت SOC

SIEM - پذیرش رویداد، عادی سازی و همبستگی ؛ داشبورد، جستجو، هشدار.
UEBA - تجزیه و تحلیل رفتار کاربر/میزبان، پروفایل های پایه و ناهنجاری ها.
SOAR - اتوماسیون پاسخ: غنی سازی هشدارها (TI، CMDB)، ارکستراسیون اقدامات مهار.
TI (Threat Intelligence) - IOC/TTP/آسیب پذیری بحرانی تغذیه می کند ؛ زمینه برای قوانین و غنی سازی.
ذخیره سازی - «گرم» 7-30 روز برای تحقیقات، «سرد» 90-365 + برای انطباق/گذشته نگر.

منابع ورود (حداقل کافی است)

هویت و دسترسی:

IdP/SSO (OIDC/SAML)، MFA، PAM، VPN/ZTNA، دایرکتوری ها (AD/AAD).

نقاط پایانی:

EDR/AV، Sysmon/ETW (ویندوز)، auditd/eBPF (لینوکس)، MDM (تلفن همراه).

شبکه و محیط:

فایروال (L3/L7)، WAF/WAAP، متعادل کننده (NGINX/Envoy)، DNS، پروکسی، NetFlow/sFlow/Zeek.

ابرها و سکوها:

گزارش های CloudTrail/Activity، KMS/Key Vault، رویدادهای IAM، Kubernetes (حسابرسی، سرور API)، امنیت کانتینر.

برنامه ها و پایگاه های داده:

حسابرسی مدیریت، دسترسی به PII/پرداخت، DDL/حقوق، رویدادهای مهم کسب و کار (برداشت، پاداش، پرداخت).

ایمیل و همکاری:

تشخیص فیشینگ/هرزنامه، DLP، کلیک URL، پیوست ها.

عادی سازی: فرمت واحد (به عنوان مثال، ECS/CEF)، فیلدهای اجباری: «برچسب زمان»، «src/dst ip»، «کاربر»، «عمل»، «منبع»، «نتیجه»، «request _ id/trace _ id».

طبقه بندی تهدید و نقشه ATT و CK

قوانین و داشبورد ها را در بخش MITRE ATT&CK ایجاد کنید: دسترسی اولیه، اجرای، تداوم، ارتقاء امتیاز، فرار از دفاع، دسترسی اعتبار، کشف، حرکت جانبی، C2، جمع آوری/خروج/ضربه.
برای هر تاکتیک - حداقل تشخیص و پانل های کنترل «پوشش در مقابل وفاداری».

سیاست هشدار و اولویت بندی

شدت:

P1 (بحرانی): C2 فعال، ATO موفق/سرقت رمز، رمزگذاری، exfiltration پرداخت/PII.
P2 (بالا): پیاده سازی در زیرساخت/ابر، افزایش امتیازات، دور زدن MFA.
P3 (متوسط): ناهنجاری مشکوک، تلاش های ناموفق مکرر، رفتار نادر.
P4 (کم): سر و صدا، فرضیه ها، مسابقات TI بدون تایید.
تشدید: P1 - بلافاصله در تماس (24 × 7)، P2 - در طول ساعات کار ≤ 1 ساعت، بقیه - از طریق صف.
جمع آوری هشدار توسط شی/جلسه برای جلوگیری از «طوفان».

SLI/SLO/SLA SOC

SLI: زمان تشخیص (MTTD)، زمان تأیید (MTTA)، زمان مهار (MTTC)، نسبت مثبت کاذب (FP) و از دست رفته (FN) در خوشه های سناریو.

SLO (نمونه):

MTTD P1 ≤ 5 دقیقه ؛ MTTC P1 ≤ 30 دقیقه
نرخ FP با توجه به قوانین با شدت بالا ≤ 2 ٪/روز.
پوشش تکنیک های کلیدی ATT&CK ≥ 90٪ (حضور حداقل یک تشخیص).
SLA (خارجی): هماهنگی با کسب و کار (به عنوان مثال اطلاعیه P1 صاحبان ≤ 15 دقیقه).

قوانین تشخیص: امضا، اکتشاف، رفتار

سیگما (مثال: دسترسی مشکوک به پنل مدیریت در خارج از کشور)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (مثال: افزایش ورود به سیستم شکست خورده + حساب های مختلف از همان IP)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

برنامه (SQL، دسترسی PII خارج از برنامه)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA و زمینه

پروفایل های فعالیت پایه توسط کاربر/نقش/سرویس (ساعت، ASN، دستگاه).
ناهنجاری ها: نادر IP/ASN، دستگاه جدید، توالی API غیر معمول، تغییر شدید در زمان فعالیت.
رویدادهای نمره ریسک = سیگنال (TI، ناهنجاری، حساسیت منابع) × وزن.

SOAR و اتوماسیون پاسخ

غنی سازی: شهرت TI از IP/دامنه/هش، CMDB (که صاحب میزبان/خدمات)، HR (وضعیت کارمند)، نقش IAM.
اقدامات: جداسازی میزبان (EDR)، مسدود کردن IP/ASN/JA3، خروج موقت نشانه ها/جلسات، چرخش اجباری اسرار، ممنوعیت خروج وجوه/انجماد پاداش ها.
ریل گارد: برای اقدامات بحرانی - دستگاه دو عامل ؛ TTL در قفل.

فرآیندهای SOC

1. Triage: چک کردن زمینه، deduplication، آشتی TI، طبقه بندی ATT و CK اولیه.
2. بررسی: جمع آوری مصنوعات (PCAP/EDR/سیاهههای مربوط)، فرضیه ها، جدول زمانی، ارزیابی آسیب.
3. مهار/ریشه کن کردن: انزوا، کلید/لغو رمز، پچ، قفل.
4. بازیابی: کنترل پاکیزگی، چرخش، نظارت بر عود.
5. RCA/درس: پس از حادثه، به روز رسانی قوانین/داشبورد، اضافه کردن موارد تست.

تنظیم و کیفیت تشخیص

حالت سایه برای قوانین جدید: خواندن، اما نه بلوک.
منطقه بسته: یک کتابخانه از رویدادهای «خوب/بد» برای آزمون قانون CI.
اصلاح FP: محرومیت توسط مسیر/نقش/ASN ؛ قانون «شر به طور پیش فرض» تنها پس از قناری ها است.
نظارت بر رانش: تغییر در فعالیت پایه → سازگاری آستانه/مدل.

داشبورد و بررسی

عملیاتی: هشدارهای فعال، P1/P2، نقشه حمله (geo/ASN)، «سخنرانان برتر»، نوار TI-match.
تاکتیکی: پوشش ATT و CK، روند FP/FN، MTTD/MTTC، منابع پر سر و صدا.
کسب و کار: حوادث محصول/منطقه، تاثیر بر KPI ها (تبدیل، زمان به کیف پول، شکست پرداخت).

ذخیره سازی، حفظ حریم خصوصی و انطباق

نگهداری: حداقل 90 روز از سیاهههای مربوط «گرم»، ≥ آرشیو 1 سال که در آن مورد نیاز (fintech/تنظیم کننده).
PII/اسرار: نشانه گذاری/ماسک کردن، دسترسی به نقش، رمزگذاری.
الزامات قانونی: گزارش حادثه، حفظ زنجیره تصمیم گیری، ثبات ساعت (NTP).

تیم بنفش و بررسی پوشش

شکار تهدید: فرضیه های TTP (به عنوان مثال T1059 PowerShell)، پرس و جوهای ad-hoc در SIEM.
تیم بنفش: سرعت مشترک قرمز + آبی - اجرای TTP، بررسی محرک ها، نهایی کردن قوانین.
تست خودکار تشخیص: دوره ای دوباره بازی از رویدادهای مرجع (آزمون اتمی) در غیر prod و «سایه» prod.

ویژگی iGaming/fintech

دامنه های بحرانی: ورود/ثبت نام، سپرده/نتیجه گیری، تبلیغی، دسترسی به PII/fin. گزارش ها

سناریوها: پر کردن ATO/اعتبارنامه، تست کارت، سوء استفاده از پاداش، دسترسی خودی به پرداخت.
قوانین: سرعت به '/ورود '، '/برداشت'، idempotency و HMAC از webhooks، mTLS به PSP، تشخیص برای دسترسی به جداول با PAN/PII.
محرک های کسب و کار: افزایش شدید در شکست پرداخت/بازپرداخت، ناهنجاری در تبدیل، انفجار سپرده های «صفر».

نمونه هایی از کتابهای اجرا (به صورت مختصر)

P1: تایید ATO و برداشت

1. SOAR جلسه را مسدود می کند، نشانه ها را به یاد می آورد، پین ها را منجمد می کند (TTL 24 ساعت).
2. اطلاع صاحب محصول/امور مالی ؛ reset/2FA-rebind رمز عبور را شروع کنید.
3. بررسی حساب های همسایه توسط ستون دستگاه/IP/ASN ؛ بلوک را با خوشه ها گسترش دهید.
4. RCA: اضافه کردن تشخیص تکرار، افزایش آستانه سرعت به «/برداشت ».

P2: اجرا بر روی سرور (T1059)

1. جداسازی EDR، حذف حافظه/مصنوعات.

2. موجودی از آخرین سپرده/اسرار; چرخش کلید

3. IOC شکار ناوگان ؛ چک کردن C2 در DNS/پروکسی.
4. پس از حادثه: قانون «پدر و مادر = nginx → bash» + سیگما برای Sysmon/Linux-audit.

اشتباهات مکرر

اضافه بار SIEM با سر و صدا بدون عادی سازی و TTL.

تشخیص های بدون نقشه در ATT&CK → نقاط کور

بدون SOAR/غنی سازی - MTTA طولانی، روال دستی.
نادیده گرفتن UEBA/رفتار - پرش «آهسته» خودی.
بلوک TI جهانی سفت و سخت بدون TTL → کاهش ترافیک کسب و کار.
عدم وجود تست رگرسیون قوانین.

نقشه راه پیاده سازی

1. موجودی ورود و نرمال (ECS/CEF)، «حداقل مجموعه».
2. ماتریس پوشش ATT و CK و تشخیص های اساسی با خطر بالا.
3. SLO و صف: P1-P4، در تماس و تشدید.
4. بازی های SOAR: غنی سازی، اقدامات مهار، بلوک های TTL.
5. UEBA و نمره ریسک: پروفایل ها، ناهنجاری ها، نظارت بر رانش.
6. تیم بنفش/تشخیص تست: حالت سایه، قناری، بسته رگرسیون.
7. گزارش و انطباق: حفظ، حفظ حریم خصوصی، داشبورد کسب و کار.

نتیجه گیری

SOC بالغ تله متری کامل + تشخیص کیفی + نظم و انضباط پاسخ است. قوانین لینک به MITRE ATT&CK، به طور خودکار غنی سازی و مهار در SOAR، اندازه گیری نتیجه با معیارهای SLO، به طور منظم بررسی پوشش در تیم بنفش - و نظارت خود را مقاوم در برابر سر و صدا خواهد بود، پاسخ به سرعت به تهدیدات واقعی و حفظ معیارهای کسب و کار.