GH GambleHub

SOC коркунучтардын жана коркунучтардын мониторинги

Кыскача резюме

Натыйжалуу SOC үч киттерге негизделген: толук телеметрия, сапаттуу детекциялар жана операциялык дисциплина (артыкчылыктуу, эскалация, пост-инцидент жана жакшыртуу). Максаты: жүрүм-турум жана белги индикаторлору боюнча кол салгандарды тез аныктоо, SLO ичинде жооп берүү жана жабууну жоготпостон жалган таасирлерди азайтуу.

SOC-мониторинг архитектурасы

SIEM - кабыл алуу, нормалдаштыруу жана корреляция; дашборддор, издөө, алертинг.
UEBA - колдонуучулардын/хосттордун жүрүм-турум аналитикасы, негизги профилдер жана аномалиялар.
SOAR - жооп автоматташтыруу: Alert байытуу (TI, CMDB), containment иш-аракеттерин топтоо.
TI (Threat Intelligence) - IOC/TTP/критикалык кемчиликтер; эрежелер жана байытуу үчүн контекст.
Сактоо - "ысык" иликтөө үчүн 7-30 күн, "муздак" 90-365 + комплаенс/retrospectives үчүн.

Логдордун булактары (минималдуу жетиштүү)

Идентификация жана жетүү:
  • IdP/SSO (OIDC/SAML), MFA, PAM, VPN/ZTNA, каталогдор (AD/AAD).
Акыркы чекиттер:
  • EDR/AV, Sysmon/ETW (Windows), auditd/eBPF (Linux), MDM (мобилдик).
Тармак жана периметри:
  • Firewall (L3/L7), WAF/WAAP, балансы (NGINX/Envoy), DNS, прокси, NetFlow/sFlow/Zeek.
Булуттар жана аянтчалар:
  • CloudTrail/Activity Logs, KMS/Key Vault, IAM окуялар, Kubernetes (аудит, API Server), контейнер коопсуздук.
Тиркемелер жана БД:
  • Администраторлорду текшерүү, PII/төлөмдөргө кирүү, DDL/укуктар, критикалык бизнес окуялар (withdraw, bonus, payout).
Почта жана кызматташуу:
  • Фишинг/спам-детал, DLP, URL чыкылдатуу, тиркемелер.

Нормалдаштыруу: бирдиктүү формат (мисалы, ECS/CEF), милдеттүү талаалар: 'timestamp', 'src/dst ip', 'user', 'action', 'resource', 'result', 'request _ id/trace _ id'.

Коркунучтардын таксономиясы жана ATT & CK-карталар

Эрежелерди жана дашбордддорду MITRE ATT&CK бөлүгүндө түзүңүз: Initial Access, Execution, Persistence, Privilege Escalation, Defence Evasion, Credential Access, Discovery, Lateral Movement, C2, Color lection/Exfiltration/Impact.
Ар бир тактика үчүн - минималдуу детекциялар жана "coverage vs. fidelity" башкаруу панелдери.

Алертинг саясаты жана артыкчылыктуу

Severity:
  • P1 (Critical): активдүү C2, ийгиликтүү АТО/токендерди уурдоо, шифрлөө, төлөм/PII эксфильтрлөө.
  • P2 (High): инфраструктурага/булутка киргизүү, артыкчылыктарды күчөтүү, MFAны айланып өтүү.
  • P3 (Medium): шектүү аномалия, кайталанган ийгиликсиз аракеттер, сейрек кездешүүчү жүрүм-турум.
  • P4 (Low): ызы-чуу, гипотезалар, ырастоо жок TI-дал.
  • Эскалациялар: P1 - дароо on-call (24 × 7), P2 - жумуш убактысында ≤ 1 саат, калгандары - кезек аркылуу.
  • Дубликаттарды маалымат: "бороон-чапкындан" качуу үчүн объекттерге/сессияларга алерттерди бириктириңиз.

SLI/SLO/SLA SOC

SLI: аныктоо убактысы (MTTD), тастыктоо убактысы (MTTA), containment чейин убакыт (MTTC), жалган оң үлүшү (FP) жана өткөрүлгөн (FN) скрипт кластерлеринде.

SLO (мисалдар):
  • MTTD P1 ≤ 5 мин; MTTC P1 ≤ 30 мин.
  • FP-rate жогорку-severity эрежелери ≤ 2 %/сутка.
  • Негизги ATT&CK техникасын жабуу ≥ 90% (жок дегенде бир детекциянын болушу).
  • SLA (тышкы): бизнес менен макулдашуу (мисалы, P1 ээлерине эскертүү ≤ 15 мин).

Детекция эрежелери: белги, эвристика, жүрүм-турум

Sigma (мисал: өлкөнүн сыртында башкаруу шектүү мүмкүнчүлүк)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (мисалы: ийгиликсиз логиндердин өсүшү + бир IP менен ар кандай эсептер)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

Колдонмо (SQL, графиктен тышкары PII кирүү)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA жана контексти

Колдонуучулар/ролдор/кызматтар боюнча базалык активдүүлүктүн профилдери (сааттар, ASN, түзмөктөр).
Аномалиялар: сейрек IP/ASN, жаңы түзмөк, адаттан тыш API ырааттуулугу, иш убактысынын кескин өзгөрүшү.
Тобокелдик score окуялар = сигналдар (TI, аномалия, ресурстук сезгичтиги) × салмагы.

SOAR жана жоопторду автоматташтыруу

Байытуу: TI-кадыр-IP/домен/хеш, CMDB (ким ээси/кызматы), HR (кызматкер статусу), IAM-ролу.
Иш-аракеттер: ээсин изоляциялоо (EDR), IP/ASN/JA3 бөгөттөө, токендерди/сессияларды убактылуу чакыртып алуу, сырларды мажбурлап алмаштыруу, акча каражаттарын чыгарууга тыюу салуу/бонустарды тоңдуруу.
Гвард-рейл: критикалык иш-аракеттер үчүн - эки факторлуу appruv; блокировкаларда TTL.

SOC процесстери

1. Триаж: контекстти текшерүү, дедупликация, TI менен салыштыруу, ATT&CK боюнча баштапкы классификация.
2. Иликтөө: артефакттарды чогултуу (PCAP/EDR/логи), гипотезалар, таймлайн, зыянды баалоо.
3. Containment/Eradication: изоляция, ачкычтарды/токендерди чакыртып алуу, патчинг, блоктоо.
4. Калыбына келтирүү: тазалыкты көзөмөлдөө, айлануу, кайталоо мониторинг.
5. RCA/Сабактар: пост-окуя, эрежелерди/dashboard жаңыртуу, сыноо учурларын кошуу.

Тюнинг жана детекциялардын сапаты

жаңы эрежелер үчүн көлөкө-режими: санап, бирок бөгөт коюу эмес.
Regression pack: CI сыноо эрежелери үчүн "жакшы/жаман" окуялардын китепканасы.
FP-ремедиация: жолдор/ролдор/ASN боюнча өзгөчөлүктөр; эреже "демейки жаман" - гана канарейка кийин.
Drift-мониторинг: негизги ишин өзгөртүү → босоголор/моделдер ылайыкташтыруу.

Dashboard жана сын-пикирлер

Оперативдүү: активдүү алерталар, P1/P2, кол салуу картасы (гео/ASN), "top talkers", TI-дал келүү лентасы.
Тактикалык: ATT & CK-каптоо, FP/FN тренддери, MTTD/MTTC, "ызы-чуу" булактары.
Бизнес: продуктылар/региондор боюнча инциденттер, KPIге таасир этүү (конверсия, убакыт-коштомо, төлөмдөрдүн аткарылбай калышы).

Сактоо, купуялык жана комплаенс

Retenshn: жок дегенде 90 күн "жылуу" логдор ≥ 1 жыл талап кылынган жерде архив (fintech/жөнгө салуучу).
PII/Secrets: токенизациялоо/жашыруу, ролдорго жетүү, шифрлөө.
Юридикалык талаптар: инциденттер боюнча отчеттуулук, чечим кабыл алуу чынжырларын сактоо, саат ырааттуулугу (NTP).

Purple командасы жана камтуу текшерүү

Threat hunting: TTP боюнча гипотезалар (мисалы, T1059 PowerShell), SIEM боюнча ad-hoc суроо.
Purple Team: Red + Blue биргелешкен спринттер - TTP баштоо, триггерлерди текшерүү, эрежелерди өзгөртүү.
Autotest Detector: мезгил-мезгили менен кайра-оюн эталондук окуялар (atomic tests) эмес-прод жана "көмүскө" прод.

iGaming/Fintech өзгөчөлүктөрү

Критикалык домендер: логин/каттоо, депозиттер/корутундулар, промо, PII/Fin кирүү. отчеттор.
Сценарийлер: ATO/credential stuffing, card testing, бонустук кыянаттык, инсайдердик төлөм мүмкүнчүлүгү.
Эрежелер: velocity on '/login ', '/withdraw', демпотенттик жана HMAC vebhukov, PSP үчүн mTLS, PAN/PII менен таблицаларга жетүү детекциялары.
Бизнес триггерлери: төлөмдөрдүн/чаргебактардын бузулушунун кескин өсүшү, конверсиядагы аномалиялар, "нөлдүк" депозиттердин жарылуусу.

Runbook мисалдар (кыскартылган)

P1: Тастыкталган АТО жана акча каражаттарын алуу

1. SOAR сессияны бөгөттөйт, refresh белгилерин чакыртып алат, корутундуларды тоңдурат (TTL 24 саат).
2. продукт/каржы ээсине маалымдоо; password reset/2FA-rebind.
3. Текшерүү кошуна эсептер боюнча device/IP/ASN тилкеси; кластерлер боюнча блокту кеңейтүү.
4. RCA: кайталоо детекцияларын кошуу, velocity босогосун күчөтүү '/withdraw '.

P2: Execushn Server (T1059)

1. EDR изоляциясы, эстутумду/артефакттарды алып салуу.
2. Акыркы деплойлордун/сырлардын инвентаризациясы; ачкычтарды айлантуу.
3. IOC-flite мергенчилик; DNS/прокси C2 текшерүү.
4. Пост-окуя: Руль "Parent = nginx → bash" + Sigma үчүн Sysmon/Linux-аудит.

Көп каталар

нормалдаштыруу жана TTL жок SIEM ызы-чуу.
ATT&CK → "сокур зоналар" боюнча mapping жок детекциялар.
Жок SOAR/байытуу - узун MTTA, кол өнөрчүлүк.
Ignor UEBA/жүрүм-туруму - "жай" инсайдерлердин өтүү.
TTL жок катуу глобалдык TI блоктору → бизнес-трафикти кесип.
regression сыноо эрежелеринин жоктугу.

Жол картасы ишке ашыруу

1. Реестрди инвентаризациялоо жана нормалдаштыруу (ECS/CEF), "минималдуу комплект".
2. ATT & CK-Matrix каптоо жана жогорку тобокелдик негизги детекцияларды.
3. SLO жана кезек: P1-P4, on-call жана эскалация.
4. SOAR-playbook: байытуу, containment-аракет, TTL-блоктор.
5. UEBA жана тобокелдик эсеби: профилдер, аномалиялар, дрейф-мониторинг.
6. Purple Team/детекторлор тесттер: shadow-режими, канарейка, regression pack.
7. Отчеттуулук жана комплаенс: ретеншн, купуялык, бизнес-дашборддор.

Жыйынтык

жетилген SOC - толук телеметрия + сапаттуу детекция + жооп тартиби. Эрежелерди MITRE ATT&CK менен байланыштырыңыз, SOARдагы байытууну жана контайнингентти автоматташтырыңыз, SLO көрсөткүчтөрү менен натыйжаны өлчөңүз, Purple Team менен жабууну үзгүлтүксүз текшериңиз - жана сиздин мониторингиңиз ызы-чууга туруштук берет, реалдуу коркунучтарга тез жооп берет жана бизнес-метриканы сактайт.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Telegram
@Gamble_GC
Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.