GH GambleHub

איום SOC וניטור התראה

תקציר

SOC אפקטיבי בנוי על שלושה עמודים: שלמות טלמטריה, גילוי איכות ומשמעת מבצעית (עדיפות, הסלמה, לאחר תקרית ושיפור). המטרה: לזהות במהירות פולשים על ידי אינדיקטורים התנהגותיים וחתימות, להגיב בתוך SLO ולמזער חיוביות כוזבות מבלי לאבד כיסוי.

SOC ניטור ארכיטקטורה

SIEM - קבלת אירוע, נורמליזציה וקורלציה; לוחות מחוונים, חיפוש, התראה.
UEBA - משתמש/מארח אנליטיקה התנהגותית, פרופילים של קו בסיס, וחריגות.
SOAR - אוטומציה של תגובה: העשרת התראות (TI, CMDB), תזמור פעולות בלימה.
TI (מודיעין איום) - הזנת פגיעות קריטית/IOC/TTP; הקשר לכללים והעשרה.
אחסון - ”חם” 7-30 ימים לחקירות, ”קר” 90-365 + לציות/רטרוספקטיבה.

מקורות יומן (מינימום מספיק)

זהות וגישה:
  • IDP/SSO (OIDC/SAML), MFA, PAM, VPN/ZTNA, ספריות (AD/AAD).
נקודות סוף:
  • EDR/AV, Sysmon/ETW (חלונות), auditd/eBPF (לינוקס), MDM (מובילים).
רשת והיקף:
  • חומות אש (L3/L7), WAF/WAAP, מאזנים (NGINX/Enveroy), DNS, פרוקסי, NetFlow/sFlow/Zeek.
עננים ופלטפורמות:
  • יומני שביל/פעילות, כספת KMS/Key, אירועים של IAM, קוברנטס (ביקורת חשבונות, שרת API), אבטחת מכולות.
יישומים ומסדי נתונים:
  • ביקורת מנהלים, גישה ל-PII/תשלומים, DDL/זכויות, אירועים עסקיים קריטיים (משיכה, בונוס, תשלום).
דואר ושיתוף פעולה:
  • זיהוי פישינג/דואר זבל, DLP, קליקים כתובת, מצורפים.

נורמליזציה: פורמט יחיד (לדוגמה, ECS/CEF), שדות חובה: "timeamp", "src/dst ip", "user", "action", "resource", "surve", "request _ id _ id'.

טקסונומיה איום ומיפוי ATT&CK

לבנות כללים ולוחות מחוונים בחלק ה-MITRE ATT&CK: גישה ראשונית, הוצאה להורג, התמדה, התמדה, העלמת זכויות יתר, התחמקות מהגנה, גישה אמונית, דיסקברי, תנועה צדדית, C2, אוסף/Exfiltration/Impact.
לכל טקטיקה - זיהוי מינימלי ולוחות בקרה ”כיסוי נגד נאמנות”.

התראה על מדיניות ועדיפות

חומרה:
  • P1 (קריטי): C2 פעיל, גניבת ATO/Token מוצלחת, הצפנה, חילוץ תשלום/PII.
  • P2 (גבוה): יישום בתשתית/ענן, הסלמה של הרשאות, עקיפת MFA.
  • חריגה חשודה, ניסיונות כושלים חוזרים ונשנים, התנהגות נדירה.
  • פי 4 (נמוך): רעש, השערות, טי-איי מתאים ללא אישור.
  • הסלמה: P1 - מיד בכוננות (24 × 7), P2 - בשעות העבודה 1 השעה, השאר - בתורים.
  • התראות צבירה על ידי אובייקט/הפעלה להימנע ”סערה”.

SLI/SLO/SLA SOC

זמן גילוי (MTTD), זמן אישור (MTTA), זמן לבלימה (MTC), פרופורציה של חיובי כוזב (FP) והחמצה (FN) על אשכולות תרחיש.

SLO (דוגמאות):
  • MTTD P1 על 5 דקות; MTTC P1 על 30 דקות.
  • FP-rate על פי כללי חומרה גבוהה הקובע 2 %/יום.
  • כיסוי טכניקות ATT&CK - 90% (נוכחות של לפחות גילוי אחד).
  • SLA (חיצוני): תיאום עם עסקים (למשל הודעת P1 של בעלים על 15 דקות).

כללי גילוי: חתימות, היוריסטיקה, התנהגות

סיגמא (דוגמה: גישה חשודה ללוח המנהלים מחוץ למדינה)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (דוגמה: נחשול של לוגנים כושלים + חשבונות שונים מאותו IP)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

יישום (SQL, מחוץ ללוח הזמנים PII גישה)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA והקשר

פרופילי פעילות בסיסיים על ידי משתמש/תפקיד/שירות (שעון, ASN, התקן).
חריגות: IP/ASN נדיר, התקן חדש, רצפי API יוצאי דופן, שינוי חד בזמן פעילות.
אירועי ציון סיכונים = אותות (TI, אנומליה, רגישות למשאבים) × משקולות.

SOAR ואוטומציית תגובה

העשרה: מוניטין TI של IP/domain/hash, CMDB (בעל השירות המארח), HR (מעמד העובד), תפקיד IAM.
פעולות: בידוד מארח (EDR), חסימה IP/ASN/JA3, משיכה זמנית של אסימונים/מפגשים, סיבוב כפוי של סודות, איסור משיכת כספים/הקפאת בונוסים.
מסילות משמר: לפעולות קריטיות - מנגנון שני פקטורים; טי-טי-אל על מנעולים.

SOC תהליכים

1. מיון: בדיקת הקשר, שכפול, פיוס TI, סיווג ATT&CK ראשוני.
2. חקירה: אוסף חפצים (PCAP/EDR/Logs), השערות, ציר זמן, הערכת נזקים.
3. בלימה/מיגור: בידוד, ביטול מפתח/אסימון, תיקון, מנעולים.
4. התאוששות: שליטה בניקיון, סיבוב, ניטור הישנות.
5. RCA/Lessons: Post-Incident, Update Rules/Dashboard, Associate Cases.

כוונון ואיכות זיהוי

מצב צל לחוקים חדשים: לקרוא, אבל לא לחסום.
חבילת איזור: ספרייה של אירועי ”טוב/רע” למבחני חוק מודיע.
תיקון FP: בלעדיות לפי מסלול/תפקיד/ASN; חוק ”הרע כברירת מחדל” הוא רק אחרי קנריות.
ניטור סחיפה: שינוי בפעילות קו הבסיס * הסתגלות לסף/מודלים.

לוחות מחוונים וביקורות

תפעולי: התראות פעילות, P1/P2, מפת התקפה (Geo/ASN), ”פטפוטים עליונים”, טייפ התאמה TI.
טקטיקה: כיסוי ATT&CK, מגמות FP/FN, MTTD/MTTC, מקורות רועשים.
עסקים: תקריות של מוצר/אזור, השפעה על KPIs (המרה, זמן לארנק, כשלי תשלום).

אחסון, פרטיות וציות

שימור: לפחות 90 ימים של יומנים ”חמים”, ארכיון 1 שנה שבו נדרש (פינטק/רגולטור).
PII/סודות: טוקניזציה/מיסוך, גישה לחיקוי, הצפנה.
דרישות חוקיות: דיווח תקריות, שמירת שרשראות החלטות, עקביות שעון (NTP).

צוות סגול ובדיקת כיסוי

ציד איומים: השערות TTP (למשל: T1059 PowerShell), שאילתות ad-hock ב SIEM.
צוות סגול: ספרינטים ג 'וינט אדום + כחול - הפעלת TTP, בדיקת טריגרים, קביעת כללים.
מבחנים אוטומטיים לגילויים: ניגון מחדש תקופתי של אירועי התייחסות (בדיקות אטומיות) בשיטה שאינה מעודכנת ו ”צל”.

iGaming/fintech ספציפית

תחומים קריטיים: התחברות/רישום, הפקדות/מסקנות, פרומו, גישה ל PII/סנפיר. דיווחים.
תרחישים: ATO/מלית אישורים, בדיקות כרטיס, ניצול בונוס, גישה פנימית לתשלומים.
חוקים: מהירות '/התחברות ', '/נסיגה', אידמפוטנטיות ו-HMAC של חוברות אינטרנט, MTLS ל-PSP, זיהוי לשולחנות גישה עם PAN/PII.
מפעיל עסקים: עלייה חדה בכשלי תשלום/צ 'רג' בק, חריגות בהמרות, התפרצויות של מרבצי ”אפס”.

דוגמאות של ספרי ריצה (מקוצר)

P1: אישור אטו ומשיכות

1. SOAR חוסם את המפגש, נזכר אסימונים רעננים, מקפיא סיכות (TTL 24 h).
2. הודע לבעל המוצר/מימון; התחל reset/2FA-rebind סיסמה.
3. בדוק חשבונות שכנים על ידי עמודת התקן/IP/ASN; להרחיב את הבלוק על ידי אשכולות.
4. RCA: הוסף זיהוי חוזר, הגדל את סף המהירות ל- '/נסיגה '.

P2: ביצוע בשרת (T1059)

1. בידוד EDR, הסרת זיכרון/חפץ.
2. המלאי של ההפקדות/סודות האחרונים; סיבוב מפתח.
3. צי ציד IOC; בדיקת C2 ב- DNS/Proxy.
4. פוסט-תקרית: כלל ”הורה = nginx = bash” + Sigma עבור Sysmon/Linux-audit.

טעויות תכופות

עומס יתר של SIEM עם רעש ללא נורמליזציה וTTL.
זיהוי לא ממופה על נקודות מתות ATT&CK.
אין SOAR/העשרה - ארוך MTA, שגרה ידנית.
התעלמות מ ־ UEBA/התנהגות - דילוג פנימי ”איטי”.
בלוקים קשיחים של טי-טי-איי ללא TTL.
חוסר בחינות רגרסיה של כללים.

מימוש מפת דרכים

1. מלאי יומן ונורמליזציה (ECS/CEF), ”סט מינימלי”.
2. מטריצת ציפוי ATT&CK ואיתור בסיסי בסיסי בסיכון גבוה.
3. P1-P4, כוננות והסלמה.
4. ספרי משחק: העשרה, פעולות בלימה, בלוקים של טי-טי-אל.
5. UEBA וניקוד סיכונים: פרופילים, חריגות, ניטור סחף.
6. מבחני צוות/זיהוי סגולים: מצב צל, קנריות, חבילת רגרסיה.
7. דיווח וציות: שמירה, פרטיות, לוחות מחוונים עסקיים.

תוצאות

SOC בוגר הוא טלמטריה מלאה + זיהוי איכותי + משמעת תגובה. כללי קישור ל-MITRE ATT&CK, העשרה אוטומטית ובלימה ב-SOAR, מודדים את התוצאה בעזרת מדדי SLO, בודקים באופן קבוע את הכיסוי בצוות הסגול - והניטור שלכם יהיה עמיד לרעש, מגיבים במהירות לאיומים אמיתיים ושומרים על מדדים עסקיים.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

Telegram
@Gamble_GC
התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.