एसओसी थ्रेट एंड अलर्ट मॉनिटरिंग

संक्षिप्त सारांश

प्रभावी एसओसी तीन स्तंभों पर बनाया गया है: टेलीमेट्री की पूर्णता, गुणवत्ता का पता लगाना और परिचालन अनुशासन (प्राथमिकता, वृद्धि, घटना के बाद और सुधार)। लक्ष्य: व्यवहार और हस्ताक्षर संकेतकों द्वारा घुसपैठियों की जल्दी से पहचान करना, एसएलओ के भीतर जवाब देना और कवरेज खोए बिना झूठी सकारात्मकता को कम करना।

एसओसी निगरानी वास्तुकला

SIEM - घटना स्वागत, सामान्यीकरण और सहसंबंध; डैशबोर्ड, खोज, सतर्क।

UEBA - उपयोगकर्ता/होस्ट व्यवहार एनालिटिक्स, बेसलाइन प्रोफाइल और विसंगतियाँ।

SOAR - प्रतिक्रिया का स्वचालन: अलर्ट का संवर्धन (TI, CMDB), नियंत्रण क्रियाओं का ऑर्केस्ट्रेशन।

टीआई (थ्रेट इंटेलिजेंस) - आईओसी/टीटीपी/महत्वपूर्ण भेद्यता फ़ीड; नियमों और संवर्धन के लिए संदर्भ।

भंडारण - जांच के लिए "गर्म" 7-30 दिन, "ठंड" 90-365 + अनुपालन/पूर्वव्यापी के लिए।

लॉग स्रोत (न्यूनतम पर्याप्त)

• IdP/SSO (OIDC/SAML), MFA, PAM, VPN/ZTNA, निर्देशिका (AD/AAD)।

• EDR/AV, Sysmon/ETW (विंडोज), ऑडिट/eBPF (लिनक्स), MDM (मोबाइल)।

• फ़ायरवॉल (L3/L7), WAF/WAAP, बैलेंसर (NGINX/Envoy), DNS, प्रॉक्सी, NetFlow/sFlow/Zeek।

• CloudTrail/गतिविधि लॉग, KMS/कुंजी वॉल्ट, IAM इवेंट्स, Kubernetes (ऑडिट, API सर्वर), कंटेनर सुरक्षा।

• एडमिन ऑडिट, पीआईआई/भुगतान तक पहुंच, डीडीएल/अधिकार, महत्वपूर्ण व्यावसायिक कार्यक्रम (निकासी, बोनस, भुगतान)।

• फ़िशिंग/स्पैम डिटेक्शन, डीएलपी, यूआरएल क्लिक, अटैचमेंट।

सामान्यीकरण: एकल प्रारूप (उदाहरण के लिए, ईसीएस/सीईएफ), अनिवार्य क्षेत्र: 'टाइमस्टैम्प', 'एसआरसी/डीएसटी आईपी', 'उपयोगकर्ता', 'क्रिया', 'संसाधन', 'अनुरोध _ आईडी/ट्रेस _'।

धमकी टैक्सोनॉमी और एटीटी एंड सीके मैपिंग

MITRE ATT&CK अनुभाग में नियम और डैशबोर्ड का निर्माण: प्रारंभिक पहुंच, निष्पादन, दृढ़ ता, विशेषाधिकार वृद्धि, रक्षा चोरी, क्रेडेंशियल एक्सेस, डिस्कवरी, लेटरल मूवमेंट, C2, संग/एक्रेशन/इफेल।

प्रत्येक रणनीति के लिए - न्यूनतम निरोध और नियंत्रण पैनल "कवरेज बनाम निष्ठा"।

चेतावनी नीति और प्राथमिकता

• पी 1 (महत्वपूर्ण): सक्रिय सी 2, सफल एटीओ/टोकन चोरी, एन्क्रिप्शन, भुगतान एक्सफिल्ट्रेशन/पीआईआई।
• पी 2 (उच्च): बुनियादी ढांचे/क्लाउड में कार्यान्वयन, विशेषाधिकारों की वृद्धि, एमएफए को दरकिनार करना।
• P3 (मध्यम): संदिग्ध विसंगति, बार-बार असफल प्रयास, दुर्लभ व्यवहार।
• P4 (कम): शोर, परिकल्पना, टीआई बिना पुष्टि के मैच करता है।
• वृद्धि: P1 - तुरंत ऑन-कॉल (24 × 7), P2 - काम के घंटों के दौरान ≤ 1 घंटे, बाकी - कतारों के माध्यम से।
• रोल-अप: "तूफान" से बचने के लिए वस्तु/सत्र द्वारा कुल अलर्ट।

SLI/SLO/SLA SOC

SLI: परिदृश्य समूहों पर पता लगाने का समय (MTTD), पुष्टि समय (MTTA), रोकथाम का समय (MTTC), झूठे सकारात्मक (FP) का अनुपात और चूक (FN)।

• MTTD P1 ≤ 5 मिनट; MTTC P1 ≤ 30 मिनट।
• उच्च-गंभीरता नियमों के अनुसार एफपी-दर ≤ 2 %/दिन।
• प्रमुख एटीटी और सीके तकनीकों का कवरेज ≥ 90% (कम से कम एक पहचान की उपस्थिति)।
• एसएलए (बाहरी): व्यापार के साथ समन्वय (जैसे। P1 मालिकों की सूचना ≤ 15 मिनट)।

पता लगाने के नियम: हस्ताक्षर, अनुमान, व्यवहार

सिग्मा (उदाहरण: देश के बाहर व्यवस्थापक पैनल तक संदिग्ध पहुंच)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

केक्यूएल (उदाहरण: असफल लॉगिन का उछाल + एक ही आईपी से अलग खाता)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

अनुप्रयोग (SQL, ऑफ-शेड्यूल PII एक्सेस)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

यूईबीए और संदर्भ

उपयोगकर्ता/भूमिका/सेवा (घड़ी, एएसएन, उपकरण) द्वारा मूल गतिविधि प्रोफाइल।

विसंगतियाँ: दुर्लभ आईपी/एएसएन, नया उपकरण, असामान्य एपीआई अनुक्रम, गतिविधि समय में तेज परिवर्तन।

जोखिम स्कोर इवेंट्स = सिग्नल (टीआई, विसंगति, संसाधन संवेदनशीलता) × वजन।

SOAR और प्रतिक्रिया स्वचालन

संवर्धन: आईपी/डोमेन/हैश की टीआई प्रतिष्ठा, सीएमडीबी (जो मेजबान/सेवा का मालिक है), एचआर (कर्मचारी की स्थिति), आईएएम भूमिका।

क्रियाएं: मेजबान अलगाव (ईडीआर), IP/ASN/JA3 अवरुद्ध, टोकन/सत्रों की अस्थायी वापसी, रहस्यों को रोटेशन, धन की वापसी का निषेध/बोनस की ठंड।

गार्ड रेल: महत्वपूर्ण कार्यों के लिए - दो-कारक उपकरण; ताले पर टीटीएल।

एसओसी प्रक्रियाएँ

1. ट्राइएज: संदर्भ जाँच, डीडुप्लिकेशन, टीआई सामंजस्य, प्राथमिक एटीटी और सीके वर्गीकरण।

2. जांच: कलाकृतियों का संग्रह (PCAP/EDR/logs), परिकल्पना, समयरेखा, क्षति मूल्यांकन।

3. नियंत्रण/उन्मूलन: अलगाव, कुंजी/टोकन निरसन, पैचिंग, ताले।

4. वसूली: स्वच्छता नियंत्रण, रोटेशन, पुनरावृत्ति निगरानी।

5. आरसीए/सबक: पोस्ट-इंसीडेंट, अपडेट रूल्स/डैशबोर्ड, टेस्ट केस जोड़ें।

ट्यूनिंग और डिटेक्शन की गुणवत्ता

नए नियमों के लिए छाया मोड: पढ़ें, लेकिन ब्लॉक नहीं।

क्षेत्र पैक: सीआई नियम परीक्षणों के लिए "अच्छा/बुरा" घटनाओं का एक पुस्तकालय।

एफपी उपचारात्मक: मार्ग/भूमिका/एएसएन द्वारा बहिष्करण; "डिफ़ॉल्ट रूप से बुराई" नियम केवल कैनरी के बाद है।

बहाव निगरानी: आधारभूत गतिविधि में परिवर्तन - थ्रेसहोल्ड/मॉडल का अनुकूलन।

डैशबोर्ड और समीक्षा

ऑपरेशनल: सक्रिय अलर्ट, P1/P2, अटैक मैप (जियो/एएसएन), "टॉप टॉकर्स", टीआई-मैच टेप।

सामरिक: एटीटी और सीके कवरेज, एफपी/एफएन रुझान, एमटीटीडी/एमटीटीसी, शोर स्रोत।

व्यवसाय: उत्पाद/क्षेत्र द्वारा घटनाएं, केपीआई पर प्रभाव (रूपांतरण, समय-से-बटुआ, भुगतान विफलताएं)।

भंडारण, गोपनीयता और अनुपालन

प्रतिधारण: कम से कम 90 दिन "गर्म" लॉग, ≥ 1 वर्ष संग्रह जहां आवश्यक (फिनटेक/नियामक)।

पीआईआई/रहस्य: टोकन/मास्किंग, भूमिका पहुंच, एन्क्रिप्शन।

कानूनी आवश्यकताएं: घटना रिपोर्टिंग, निर्णय श्रृंखलाओं का प्रतिधारण, घड़ी स्थिरता (एनटीपी)।

बैंगनी टीम और कवरेज जाँच

खतरा शिकार: टीटीपी परिकल्पना (जैसे) T1059 पावरशेल), SIEM में तदर्थ प्रश्न।

पर्पल टीम: रेड + ब्लू जॉइंट स्प्रिंट - टीटीपी चलाना, ट्रिगर की जाँच करना, नियमों को अंतिम रूप देना।

डिटेक्शन के ऑटो परीक्षण: गैर-प्रोड और "छाया" प्रोड में संदर्भ घटनाओं (परमाणु परीक्षण) के आवधिक री-प्ले।

iGaming/fintech विशिष्टता

महत्वपूर्ण डोमेन: लॉगिन/पंजीकरण, जमा/निष्कर्ष, प्रोमो, पीआईआई/फिन तक पहुंच। रिपोर्ट।

परिदृश्य: एटीओ/क्रेडेंशियल स्टफिंग, कार्ड परीक्षण, बोनस दुरुपयोग, भुगतान के लिए अंदरूनी सूत्र पहुंच।

नियम: '/लॉगिन ', '/निकासी', वेबहूक की पहचान और एचएमएसी, एमटीएलएस से पीएसपी तक, पैन/पीआईआई के साथ तालिकाओं का पता लगाने के लिए।

व्यापार ट्रिगर: भुगतान विफलताओं/चार्जबैक में तेज वृद्धि, रूपांतरण में विसंगतियां, "शून्य" जमा के फटने।

रनबुक के उदाहरण (संक्षिप्त)

P1: एटीओ और निकासी की पुष्टि की

1. SOAR सत्र को अवरुद्ध करता है, ताज़ा टोकन याद करता है, फ्रीज पिन (TTL 24 h)।

2. उत्पाद/वित्त के मालिक को सूचित करें; पासवर्ड शुरू करें reset/2FA-rebind।

3. युक्ति/आईपी/एएसएन स्तंभ द्वारा पड़ोसी खातों की जाँच करें; समूहों द्वारा ब्लॉक का विस्तार करें।

4. आरसीए: रिपीट डिटेक्शन जोड़ें, वेग को '/वापस लेने 'के लिए बढ़ाएं।

P2: सर्वर पर निष्पादन (T1059)

1. EDR अलगाव, स्मृति/कलाकृति हटाना।

2. नवीनतम जमा/रहस्यों की सूची; कुंजी घुमाव।

3. आईओसी बेड़े का शिकार; DNS/प्रॉक्सी में C2 की जाँच कर रहा है।

4. पोस्ट-घटना: नियम "माता-पिता = nginx bash" + Sysmon/Linux-ऑडिट के लिए सिग्मा।

बार-बार गलतियाँ

सामान्यीकरण और टीटीएल के बिना शोर के साथ SIEM अधिभार।

एटीटी और सीके → ब्लाइंड स्पॉट पर अनमैप्ड डिटेक्शन।

कोई SOAR/संवर्धन - लंबा MTTA, मैनुअल रूटीन।

UEBA/व्यवहार को अनदेखा करना - "धीमा" अंदरूनी सूत्रों को छोड़ ना।

TTL के बिना कठोर वैश्विक TI ब्लॉक → व्यापार में कटौती करता है।

नियमों के प्रतिगमन परीक्षणों का अभाव।

कार्यान्वयन रोडमैप

1. लॉग इन्वेंट्री और सामान्यीकरण (ईसीएस/सीईएफ), "न्यूनतम सेट"।

2. एटीटी और सीके कोटिंग मैट्रिक्स और बुनियादी उच्च जोखिम वाले डिटेक्शन।

3. एसएलओ और कतारें: P1-P4, ऑन-कॉल और एस्केलेशन।

4. SOAR प्लेबुक: संवर्धन, नियंत्रण क्रियाएं, टीटीएल ब्लॉक।

5. यूईबीए और जोखिम स्कोरिंग: प्रोफाइल, विसंगतियां, बहाव निगरानी।

6. बैंगनी टीम/परीक्षण का पता लगाएं: छाया मोड, कैनरी, प्रतिगमन पैक।

7. रिपोर्टिंग और अनुपालन: प्रतिधारण, गोपनीयता, व्यवसाय डैशबोर्ड।

परिणाम

परिपक्व एसओसी पूर्ण टेलीमेट्री + गुणात्मक डिटेक्शन + प्रतिक्रिया अनुशासन है। MITRE ATT&CK के लिंक नियम, SOAR में स्वचालित संवर्धन और नियंत्रण, SLO मैट्रिक्स के साथ परिणाम को मापते हैं, नियमित रूप से बैंगनी टीम पर कवरेज की जांच करते हैं - और आपकी निगराहत्या।