GH GambleHub

SOC საფრთხეების და ალერტების მონიტორინგი

მოკლე რეზიუმე

ეფექტური SOC აგებულია სამ ვეშაპზე: ტელემეტრიული სისრულე, მაღალი ხარისხის გამოვლენა და ოპერაციული დისციპლინა (პრიორიტეტი, ესკალაცია, პოსტ-ინციდენტი და გაუმჯობესება). მიზანი: თავდამსხმელების სწრაფად იდენტიფიცირება ქცევისა და ხელმოწერის ინდიკატორებში, რეაგირება SLO- ს ფარგლებში და ცრუ ოპერაციების შემცირება საფარის დაკარგვის გარეშე.

SOC მონიტორინგის არქიტექტურა

SIEM - მოვლენების მიღება, ნორმალიზაცია და კორელაცია; დაშბორდები, ძებნა, ალერტინგი.
UEBA არის მომხმარებელთა/მასპინძელთა ქცევითი ანალიტიკა, ძირითადი პროფილები და ანომალიები.
SOAR - რეაგირების ავტომატიზაცია: ალერტის გამდიდრება (TI, CMDB), Containment ოპერაციების ორკესტრი.
TI (Threat Intelligence) - IOC/TTP/კრიტიკული დაუცველობის ფიდები; კონტექსტი წესებისა და გამდიდრებისთვის.
საცავი - გამოძიებისთვის "ცხელი" 7-30 დღე, ცივი "90-365 + შესაბამისობისთვის/რეტროსპექტივებისთვის.

ლოგიკის წყაროები (მინიმალური საკმარისი)

თვითმყოფადობა და წვდომა:
  • IDP/SSO (OIDC/SAML), MFA, PAM, VPN/ZTNA, კატალოგები (AD/AAD).
საბოლოო წერტილები:
  • EDR/AV, Sysmon/ETW (Windows), auditd/eBPF (Linux), MDM (მობილური).
ქსელი და პერიმეტრი:
  • Firewols (L3/L7), WAF/WAAP, ბალანსერები (NGINX/Envoy), DNS, მარიონეტები, NetFlow/sFlow/Zeek.
ღრუბლები და პლატფორმები:
  • CloudTrail/Activity Logs, KMS/Key Vault, IAM მოვლენები, Kubernetes (audit, API სერვერი), კონტეინერების უსაფრთხოება.
პროგრამები და მონაცემთა ბაზები:
  • ადმირალების აუდიტი, PII/გადახდების წვდომა, DDL/უფლებები, კრიტიკული ბიზნეს მოვლენები (withdraw, bonus, payout).
ფოსტა და თანამშრომლობა:
  • Fishing/spam დეტაჟი, DLP, URL კლიშეები, ინვესტიციები.

ნორმალიზაცია: ერთი ფორმატი (მაგალითად, ECS/CEF), სავალდებულო ველები: 'timestamp', 'src/dst ip', 'user', 'action', 'resurce', 'result', 'request _ id/trace'.

მუქარის ტაქსონომია და ATT&CK რუქა

ააშენეთ წესები და დაშბორდები MITRE ATT&CK განყოფილებაში: Intial Access, Excalation, Privilege Escalation, Defense Evasion, C2, კოლექცია/Exfiltration/Impact.
თითოეული ტაქტიკისთვის - მინიმალური გამოვლენა და საკონტროლო პანელები „coverage vs. fidelity“.

ალერტინგის პოლიტიკა და პრიორიტეტიზაცია

Severity:
  • P1 (Critical): აქტიური C2, წარმატებული ATO/ტოქსინების გატაცება, დაშიფვრა, გადახდის/PII ექსფილტრაცია.
  • P2 (მაღალი): ინფრასტრუქტურა/ღრუბელში დანერგვა, პრივილეგიების ესკალაცია, MFA- ს გვერდის ავლით.
  • P3 (საშუალო): საეჭვო ანომალია, განმეორებითი წარუმატებელი მცდელობები, იშვიათი ქცევა.
  • P4 (დაბალი): ხმაური, ჰიპოთეზა, TI დამთხვევა დადასტურების გარეშე.
  • ესკალაცია: P1 - დაუყოვნებლივ on-call (24 × 7), P2 - სამუშაო საათებში - 1 საათი, დანარჩენი - რიგების საშუალებით.
  • დუბლიკატების შერევა: ალერტები ობიექტებზე/სესიებზე, რათა თავიდან აიცილონ „ქარიშხალი“.

SLI/SLO/SLA SOC

SLI: აღმოჩენის დრო (MTTD), დადასტურების დრო (MTTA), შინაარსის დრო (MTTC), ყალბი პოზიტიური (FP) და გამოტოვებული სკრიპტების (FN) წილი.

SLO (მაგალითები):
  • MTTD P1-5 წთ; MTTC P1-30 მმ.
  • FP-rate მაღალი დონის წესების მიხედვით 2% დღეში.
  • ძირითადი ATT&CK ტექნიკის დაფარვა 90% -ს შეადგენს (მინიმუმ ერთი გამოვლენის არსებობა).
  • SLA (გარე): კოორდინაცია გაუწიეთ ბიზნესს (მაგალითად, P1 მესაკუთრეთა შეტყობინებას 15 წუთი).

გამოვლენის წესები: ხელმოწერები, ევრისტიკა, ქცევა

სიგმა (მაგალითი: საეჭვო წვდომა გამანადგურებელზე ქვეყნის გარეთ)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (მაგალითი: წარუმატებელი ლოგინების ზრდა + განსხვავებული IP ანგარიშები)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

პროგრამა (SQL, წვდომა PII გრაფიკის მიღმა)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA და კონტექსტი

ძირითადი საქმიანობის პროფილები მომხმარებლების/როლების/სერვისების მიხედვით (საათი, ASN, მოწყობილობები).
ანომალიები: იშვიათი IP/ASN, ახალი მოწყობილობა, უჩვეულო API თანმიმდევრობა, საქმიანობის დროის მკვეთრი ცვლილება.
Risk score მოვლენები = სიგნალები (TI, ანომალია, რესურსის მგრძნობელობა) × წონა.

SOAR და პასუხების ავტომატიზაცია

გამდიდრება: TI რეპუტაცია IP/დომენი/ჰაში, CMDB (ვინ არის მასპინძელი/სერვისის მფლობელი), HR (თანამშრომლის სტატუსი), IAM როლი.
მოქმედებები: მასპინძელი იზოლაცია (EDR), IP/ASN/JA3 დაბლოკვა, ტოქსინების/სესიების დროებითი მიმოხილვა, საიდუმლოების იძულებითი როტაცია, სახსრების გატანის აკრძალვა/პრემიების გაყინვა.
Gward Rails: კრიტიკული ქმედებებისთვის - ორფაქტორული აპრუსი; TTL საკეტებზე.

SOC პროცესები

1. სამჯერ: კონტექსტის შემოწმება, დედუპლიკაცია, TI- სთან შერიგება, პირველადი კლასიფიკაცია ATT & CK- ით.
2. გამოძიება: არტეფაქტების შეგროვება (PCAP/EDR/logs), ჰიპოთეზა, დრო, ზიანის შეფასება.
3. Containment/Eradication: იზოლაცია, გასაღებები/ნიშნები, პატჩინგი, ბლოკირება.
4. აღდგენა: სისუფთავის კონტროლი, როტაცია, განმეორების მონიტორინგი.
5. RCA/გაკვეთილები: პოსტ-ინციდენტი, წესების/დაშბორდის განახლება, ტესტის შემთხვევების დამატება.

Tuning და დეტექტივის ხარისხი

Shadow რეჟიმი ახალი წესებისთვის: დათვლა, მაგრამ არა დაბლოკვა.
რეგულირების პაკეტი: CI წესების ტესტებისთვის „კარგი/ცუდი“ მოვლენების ბიბლიოთეკა.
FP რემედიაცია: გამონაკლისი ბილიკებზე/როლებზე/ASN; წესი „ნაგულისხმევი ბოროტებაა“ - მხოლოდ კანარის შემდეგ.
Drift მონიტორინგი: საბაზო საქმიანობის ცვლილება - ბარიერების/მოდელების ადაპტაცია.

დაშბორდი და მიმოხილვები

ოპერატიული: აქტიური ალერტები, P1/P2, თავდასხმის რუკა (geo/ASN), „top talkers“, TI დამთხვევების ფირზე.
ტაქტიკური: ATT&CK საფარი, FP/FN, MTTD/MTTC ტენდენციები, „ხმაურიანი“ წყაროები.
ბიზნესი: ინციდენტები პროდუქტებზე/რეგიონებში, გავლენა KPI- ზე (კონვერტაცია, დრო - ვალეტი, გადახდის უარყოფა).

შენახვა, კონფიდენციალურობა და შესაბამისობა

Retenshn: მინიმუმ 90 დღე „თბილი“ ლოგო, 1 წლის არქივი, სადაც საჭიროა (fintech/რეგულატორები).
PII/საიდუმლოებები: ტოკენიზაცია/შენიღბვა, როლების დაშვება, დაშიფვრა.
იურიდიული მოთხოვნები: ინციდენტების შესახებ მოხსენებები, გადაწყვეტილების ჯაჭვების შენახვა, საათების თანმიმდევრულობა (NTP).

Purple Team და საფარის შემოწმება

Threat hunting: TTP ჰიპოთეზები (მაგ., T1059 PowerShell), ad-hoc მოთხოვნები SIEM- ში.
Purple Team: Red + Blue- ის ერთობლივი სპრინტები - TTP- ის გაშვება, ტრიგერების შემოწმება, წესების დახვეწა.
ბავშვთა ავტოსატრანსპორტო საშუალებები: პერიოდული re-play საცნობარო მოვლენები (ატომიური ტესტები) არა-სტილში და „ჩრდილში“.

iGaming/fintech სპეციფიკა

კრიტიკული დომენები: ლოგინი/რეგისტრაცია, ანაბრები/დასკვნები, პრომო, წვდომა PII/fin. მოხსენებები.
სკრიპტები: ATO/credential stuffing, card testing, ბონუს აბიუსი, გადახდების ინსაიდერის წვდომა.
წესები: velocity on '/login ', '/withdraw', idempotence და HMAC ვებჰუკები, mTLS PSP, ცხრილებზე წვდომის დეტექტივები PAN/PII.
ბიზნესის გამომწვევი მიზეზები: გადახდის უკმარისობის მკვეთრი მატება/chargeback, კონვერტებში ანომალიები, „ნულოვანი“ დეპოზიტების ზრდა.

runbook მაგალითები (შემოკლებით)

P1: დადასტურებული ATO და თანხების გატანა

1. SOAR ბლოკავს სხდომას, იხსენებს რეფრეს ნიშნებს, გაყინავს დასკვნებს (TTL 24 საათი).
2. აცნობეთ პროდუქტის/ფინანსების მფლობელს; დაიწყეთ password reset/2FA-rebind.
3. შეამოწმეთ მეზობელი მოწყობილობების ანგარიშები/IP/ASN გრაფიკი; მტევნების ბლოკის გაფართოება.
4. RCA: დაამატეთ გამეორების დეტექტივები, გააძლიერეთ velocity ბარიერი '/withdraw '.

P2: Exekushn თითო სერვერზე (T1059)

1. EDR იზოლაცია, მეხსიერების/არტეფაქტების ამოღება.
2. უახლესი ხარვეზების/საიდუმლოებების ინვენტარი; კლავიშების როტაცია.
3. IOC ფლოტის ნადირობა; C2 შემოწმება DNS/Proxy- ში.
4. პოსტ-ინციდენტი: Rule „Parent = nginx-bash“ + Sigma for Sysmon/Linux audit.

ხშირი შეცდომები

SIEM- ის გადატვირთვა ხმაურით ნორმალიზაციის გარეშე და TTL.
ATT & CK- ზე Mapping Districts არის „ბრმა ზონები“.
არ არსებობს SOAR/გამდიდრება - გრძელი MTTA, სახელმძღვანელო რუტინები.
UEBA/ქცევის უგულებელყოფა არის „ნელი“ ინსაიდერების გამოტოვება.
მკაცრი გლობალური TI ბლოკები TTL- ის გარეშე, ბიზნესის ტრაფიკის გაჭრა.
წესების რეგრესიული ტესტების არარსებობა.

გზის განხორციელების რუკა

1. ლოგოების ინვენტარიზაცია და ნორმალიზაცია (ECS/CEF), „მინიმალური ნაკრები“.
2. ATT&CK საფარის მატრიცა და მაღალი რანგის ძირითადი გამოვლენა.
3. SLO და რიგები: P1-P4, on-call და ესკალაცია.
4. SOAR ფლეიბუქები: გამდიდრება, შინაარსის მოქმედება, TTL ბლოკები.
5. UEBA და რისკის ესკიზი: პროფილები, ანომალიები, დრიფტის მონიტორინგი.
6. Purple Team/ბავშვთა ტესტები: shadow რეჟიმი, კანარი, regression pack.
7. ანგარიშები და შესაბამისობა: რეცენზია, კონფიდენციალურობა, ბიზნეს დაშბორდები.

შედეგი

სექსუალურ SOC არის სრული ტელემეტრია + მაღალი ხარისხის დეტექტივები + რეაგირების დისციპლინა. ჩართეთ წესები MITRE ATT & CK- ში, ავტომატიზაცია გაუწიეთ გამდიდრებას და containment- ს SOAR- ში, გაზომეთ SLO ინდიკატორების შედეგი, რეგულარულად შეამოწმეთ საფარი Purple Team- ში - და თქვენი მონიტორინგი სტაბილური იქნება ხმაურის მიმართ, სწრაფად რეაგირება რეალურ საფრთხეებზე და შენარჩუნება.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

Telegram
@Gamble_GC
ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.