GH GambleHub

Ռուսական սպառնալիքներ և SOC ալտերտներ

Live ռեզյումե

SOC-ի իրականացումը կառուցվում է երեք կետերում 'հեռուստատեսության ամբողջական, որակավոր դետեկտիվների և վիրահատական կարգապահության (գերակայություն, էսկալացիա, փոփի պատահականություն և բարելավում)։ Նպատակը 'արագորեն հայտնաբերել հարձակվողներին վարքագծային և ազդանշանային լուծույթներով, արձագանքել SLO-ի սահմաններում և նվազագույնի հասցնել կեղծ գործիքները առանց կորստի։

SOC մոնիտորինգի ճարտարապետությունը

SIEM-ը իրադարձությունների ընդունումն է, նորմալացումը և հարաբերակցությունը։ dashbords, որոնում, alerting.

UEBA-ը օգտագործողների/հանրակացարանների վարքագծային վերլուծությունն է, հիմնական պրոֆիլները և անոմալիաները։

SOAR-ը մրցույթի ավտոմատիզացումն է 'ալերտների հարստացումը (TI, CMDB), ռուսական ainter-գործողությունների նվագախումբը։

TI (Threat Intelligence) - IOC/TTP/քննադատական խոցելիություն; կանոնների և հարստացման համատեքստը։

Պահեստը «տաք» 7-30 օր է հետազոտության համար, «սառը» 90-365 + կոմպլանսի/հետադարձ հայացքների համար։

Լոգարանների աղբյուրները (նվազագույն բավարար)

Ինքնությունը և հասանելիությունը

IdP/SSO (OIDC/SAML), MFA, PAM, MSN/ZTNA, կոդավորված և (AD/AAD)։

Վերջնական կետերը

EDR/AV, Dismon/ETW (Windows), auditd/eBPF (Linux), MDM (Multillks)։

Ցանցը և պարիմետրը

Ֆայրվոլները (L3/L7), WAF/WAAP, հավասարակշռիչները (NGINX/Envoy), III, NetFlow/sFlow/Zeek։

Ամպերը և պլատֆորմները

CloudTrail/Activity Logs, KMS/Key Vance, IAM իրադարձություններ, Kubernetes (Audit, API server), բեռնարկղային անվտանգություն։

Ծրագրեր և BD

Կիսագնդի աուդիտը, PII/renam-ի հասանելիությունը, DDL/իրավունքները, քննադատական բիզնես իրադարձությունները (withdrance, bonus, payout)։

Փոստ և համագործակցություն

Ֆիշինգ/սպամ մանկություն, DLP, URL կլիկներ, ներդրումներ։

Նորմալացում 'մեկ ձևաչափ (օրինակ ՝ ECS/CEF), պարտադիր դաշտերը ՝ «timestamp», «www.c/dst ip», «action», «resource», «request _ id/trace _ id»։

Սպառնալիքների տաքսոնոմիա և ATT & CK-քարտ

Կառուցեք կանոնները և dashbords MITRE ATT&CK: Initial System, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential, Discovery, Latery, Lateral Moveral Movere, covere Collect/Exfiltration/Impact.

Յուրաքանչյուր մարտավարության համար նվազագույն դետեկտիվներն ու վերահսկողական վահանակները «coverage vs. fidelity»։

Ալերտինգի քաղաքականությունը և գերակայությունը

Severity:
  • P1 (Critical) 'ակտիվ C2, հաջողակ ATO/առևանգել հոսանքները, ծածկագրումը, էքսֆիլտրը երկրորդային/PII։
  • P2 (High) 'ենթակառուցվածքի/ամպերի ներդրումը, արտոնությունների սրումը, շրջանցելով MFA-ն։
  • P3 (Մոսկվա) 'կասկածելի անոմալիա, կրկնվող անհաջող փորձեր, հազվագյուտ վարքագիծ։
  • P4 (Low) 'աղմուկ, հիպոթեզներ, TI համընկնումներ առանց հաստատման։
  • Էսկալացիաներ ՝ P1 - անմիջապես on-call (24 497), P2 - աշխատանքային ժամում 241 ժամ, մնացածը հերթով։
  • Կրկնօրինակների խառնուրդ. Համախմբեք ալտերտերը, որպեսզի խուսափեք «փոթորիկից»։

SLI/SLO/SLA SOC

SLI 'հայտնաբերման ժամանակը (MTTD), հաստատման ժամանակը (MTTA), ժամանակը մինչև intainment (MTTC), կեղծ դրական (FP) և բաց (FN) կլաստերի վրա։

SLO (օրինակներ)

MTTD P1 355 րոպե; MTTC P1 2430 2019

FP-rate-ը high-severity կանոններով 242 %/օր է։

Հիմնական ATT&CK տեխնիկայի ծածկումը 90 տոկոսն էր (առնվազն մեկ դետեկտորի առկայությունը)։

SLA (արտաքին) 'ներդաշնակ բիզնեսի հետ (օրինակ, P1 ծանուցում սեփականատերերին 15 րոպե)։

Դետեկտիվ կանոնները 'ազդանշաններ, էվրիստիկա, վարք

Sigma (օրինակ ՝ կասկածելի մուտք դեպի դժոխք երկրից դուրս)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (օրինակ ՝ անհաջող լոգարանների աճը + տարբեր հաշիվներ մեկ IP-ից)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

Հավելված (SQL, PII հասանելիությունը գրաֆիկից դուրս)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA և համատեքստը

Համապատասխան գործունեության պրոֆիլները '105/դերերով/ծառայություններով (ժամացույց, ASN, սարքեր)։

Աննոմալիա 'հազվագյուտ IP/ASN, նոր սարք, API-ի անսովոր հաջորդականություններ, գործունեության ժամանակի կտրուկ փոփոխություն։

Risk score-ը = ազդանշաններ (TI, անոմալիա, ռեսուրսի զգայունություն) ավելացնում է քաշը։

SOAR-ը և պատասխանների ավտոմատացումը

Հարստացում ՝ TI-հեղինակություն IP/տիրույթ/hesa, CMDB (ով հոստ/105), HR (աշխատողի կարգավիճակ), IAM դեր։

Գործողությունները 'հոստի մեկուսացում (EDR), IP/ASN/JA3 արգելափակումը, մեջբերում է հոսանքների/նստաշրջանների վերանայումը, գաղտնիքների հարկադրումը, միջոցների դուրսման արգելքը/բոնուսների սառեցումը։

Գվարդի Ռեյլի 'քննադատական գործողությունների համար' երկու ֆակտորային գլխարկ; TTL-ը արգելափակումների վրա։

SOC գործընթացները

1. Եռյակը 'ենթատեքստի ստուգում, deduplication, TI-ից, ATT & CK-ի առաջնային դասակարգումը։

2. Հետազոտություն 'արտեֆակտների հավաքումը (PCAP/EDR/logs), վարկածները, թայմլայնը, վնասի գնահատումը։

3. Intainment/Eradium: Մեկուսացում, ակնարկներ/հոսանքներ, փամփուշտներ, արգելափակումներ։

4. Վերականգնումը 'մաքրության, ռոտացիայի, կրկնության վերահսկումը։

5. RCA/Դասեր 'փոստ-պատահականություն, կանոնների/դաշբորդի նորարարություն, թեստերի ավելացում։

Թյունինգը և դետեկտիվների որակը

Shadow-ռեժիմը նոր կանոնների համար 'հավատալ, բայց ոչ արգելափակել։

Regression pack 'CI-ի համար լավ/վատ իրադարձությունների գրադարան։

FP ռեմեդիա 'բացառություններ ճանապարհներով/դերերով/ASN; «լռելյայն» կանանցից հետո։

Drift-2019 'աշխատանքային գործունեության փոփոխությունը բացատրում է շեմերի/մոդելների հարմարեցումը։

Dashbords եւ ակնարկներ

Իսպանիան ՝ ակտիվ ալերտներ, P1/P2, հարձակման քարտեզը (geo/ASN), «top talkers», TI-համընկնումների ժապավենը։

Մարտավարական 'ATT&CK ծածկույթ, FP/FN, MTTD/MTTC, «աղմկոտ» աղբյուրներ։

Բիզնեսը 'ապրանքների/տարածաշրջանների պատահարներ, ազդեցություն KPI-ի վրա (փոխադարձություն, Time-to-Wallet, պարտքերի վրա)։

Պահպանումը, գաղտնիությունը և կոմպլենսը

Retenshn: առնվազն 90 օր «տաք» լոգոն, թիվ 1 տարի արխիվը այնտեղ, որտեղ պահանջվում է (fintech/կարգավորիչներ)։

PII/գաղտնիքները 'տոկենիզացիա/դիմակավորում, դերերի հասանելիություն, կոդավորում։

Իրավաբանական պահանջներ 'միջադեպերի, որոշումների կայացման շղթաների պահպանումը, ժամացույցի անապահովությունը (NTP)։

Purple Team-ը և ստուգումը

Threat hunting: TTP-ի վարկածներ (օրինակ ՝ T1059 PowerShell), ad-hoc հարցումներ SIEM-ում։

Purple Team: Red + Blue-ի համատեղ սպրինտները TTP-ի գործարկումն են, ձգանողների ստուգումը, կանոնների կարգավորումը։

Երեխաների ավտոտեստեր 'պարբերական re-play ստանդարտ իրադարձություններ (atomic tesport) non-2019 և «tenev»։

iGaming/fintech առանձնահատկությունները

Քննադատական օրինագծերը ՝ լոգինը/108, դեպոզիտներ/եզրակացություններ, պրոմո, հասանելիություն PII/ֆին։ զեկույցները։

Սցենարներ ՝ ATO/credential stuffing, card testing, բոնուս-աբյուզ, ինսայդեր վճարումների հասանելիություն։

Կանոնները ՝ velocity '/login ', «/withdr.ru », գաղափարախոսություն և HMAC webhuks, mTRK մինչև PRK, PAN/PII։

Բիզնեսի գրավիչները 'վճարման մերժումների կտրուկ աճը/chargeback, անոմալիան ծրարներում, զրոյական ավանդների աճը։

runbook-ի օրինակներ (կրճատ)

P1: Ապացուցված ATO-ն և միջոցների դուրսբերումը

1. SOAR-ը արգելափակում է պարամետրերը, արձագանքում refresh-հոսանքները, սառեցնում եզրակացությունները (TTL 24 ժամ)։

2. Տեղեկացրեք ապրանքի/ֆինանսական սեփականատիրոջը։ սկսել password reset/2FA-rebind։

3. Ստուգել հարևան հաշիվները device/IP/ASN գրաֆիկով։ ընդլայնել բլոկը կլաստերներով։

4. RCA 'ավելացնել պատմիչների դետեկտիվները, ուժեղացնել velocity-շեմն '/withdr.ru։

P2: Execyushn սերվերի վրա (T1059)

1. EDR մեկուսացումը, հիշողության/արտեֆակտների հեռացումը։

2. Վերջին դոպլոների/գաղտնիքների կիսագունդը; միգրացիայի վերացումը։

3. IOC-որսը ֆլիտով։ C2 ստուգումը RF/Proxy-ում։

4. Փոստի պատահարը ՝ Rule «Parent = nginx nobash» + Sigma Winsmon/Linux audit-ի համար։

Հաճախակի սխալներ

SIEM-ի ծանրաբեռնվածությունը առանց նորմալացման և TTL-ի։

Առանց ATT & CK-ի դետեկտիվները կոչվում են «կույր գոտիներ»։

Չկա SOAR/հարստացում - երկար MTTA, ձեռքի ձեռքեր։

UEBA/վարքի անտեսումը «դանդաղ» ինսայդերների պաշտպանությունն է։

Կոշտ գլոբալ TI բլոկները առանց TTL-ի թույլատրվում են կտրել բիզնես համակարգը։

Ռեգրեսիայի կանոնների թեստերի բացակայությունը։

Իրականացման քարտեզը

1. Լոգարանների և նորմալիզացիայի (ECS/CEF), «նվազագույն հավաքածու»։

2. ATT & CK-մատրիցը և high-risk հիմնական դետեկտիվները։

3. SLO և գծերը ՝ P1-P4, on-call և էսկալացիա։

4. SOAR pleybuks 'հարստացում, intainment գործողություններ, TTL բլոկներ։

5. UEBA-ը և ռիսկային սկորինգը 'ավելցուկ, անոմալիա, դրեյֆ-2019։

6. Purple Team/դետեկտիվ թեստեր 'shadow-ռեժիմ, կանարեյքեր, regression pack։

7. Հաշվետվությունները և համադրությունները 'ռետենշն, գաղտնիությունը, բիզնեսի դաշբորդները։

Արդյունքը

Հասուն SOC-ն ամբողջական հեռաչափություն է + որակավոր դետեկտիվներ + կարգապահություն։ Սովորեցրեք կանոնները MITRE ATT & CK-ին, ավտոմատացրեք հարստացումը և SOAR-ում, չափեք SLO-ի արդյունքները, պարբերաբար ստուգեք ծածկույթը Purple Team-ում, և ձեր արտադրանքը կավարտվի աղմուկին, արագ արձագանքեք իրական սպառնալիքներին և աջակցեք բիզնես մետրերին։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Telegram
@Gamble_GC
Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։