GH GambleHub

SOC қатерлері мен тәуекелдерінің мониторингі

Қысқаша түйіндеме

Тиімді SOC үш китке құрылады: телеметрияның толықтығы, сапалы детекциялар және операциялық тәртіп (басымдық, эскалация, инциденттен кейінгі және жақсартулар). Мақсаты: қылмыскерлерді мінез-құлық және сигнатуралық индикаторлар бойынша тез анықтау, SLO шегінде әрекет ету және жабындыны жоғалтпай жалған іске қосылуларды азайту.

SOC-мониторинг архитектурасы

SIEM - оқиғаларды қабылдау, нормалау және корреляциялау; дашбордтар, іздеу, алертинг.
UEBA - пайдаланушылардың/хосттардың мінез-құлық талдауы, негізгі профильдер мен аномалиялар.
SOAR - әрекет етуді автоматтандыру: алгоритмдерді байыту (TI, CMDB), containment-әрекеттерді оркестрлеу.
TI (Threat Intelligence) - IOC/TTP/сыни осалдықтар фидалары; ережелер мен байытуға арналған контекст.
Сақтау орны - тергеу үшін «ыстық» 7-30 күн, комплаенс/ретроспективалар үшін «суық» 90-365 +.

Логтардың көздері (ең аз жеткілікті)

Сәйкестігі және қол жетімділігі:
  • IdP/SSO (OIDC/SAML), MFA, PAM, VPN/ZTNA, каталогтар (AD/AAD).
Соңғы нүктелер:
  • EDR/AV, Sysmon/ETW (Windows), auditd/eBPF (Linux), MDM (ұялы телефондар).
Желі және периметр:
  • Файрволдар (L3/L7), WAF/WAAP, теңгергіштер (NGINX/Envoy), DNS, прокси, NetFlow/sFlow/Zeek.
Бұлттар мен платформалар:
  • CloudTrail/Activity Logs, KMS/Key Vault, IAM оқиғалары, Kubernetes (аудит, API server), контейнерлік қауіпсіздік.
Қосымшалар мен ДҚ:
  • Әкімшілік аудит, PII/төлемдерге қолжетімділік, DDL/құқықтар, сындарлы бизнес-оқиғалар (withdraw, bonus, payout).
Пошта және коллаборация:
  • Фишинг/спам-детект, DLP, URL-таңбалар, тіркемелер.

Қалыпқа келтіру: бірыңғай пішім (мысалы, ECS/CEF), міндетті өрістер: 'timestamp', 'src/dst ip', 'user', 'action', 'resource', 'result', 'request _ id/trace _ id'.

Қатерлердің таксономиясы және ATT & CK-картаға түсіру

MITRE ATT&CK: Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, C2, Color бөлігінде ережелер мен дашбордтар жасаңыз lection/Exfiltration/Impact.
Әрбір тактика үшін - ең аз детекциялар мен «coverage vs. fidelity» бақылау панельдері.

Алертинг саясаты және басымдық беру

Severity:
  • P1 (Critical): белсенді C2, сәтті АТО/токендерді ұрлау, шифрлау, төлем/PII эксфильтрлеу.
  • P2 (High): инфрақұрылымға/бұлтқа енгізу, артықшылықтарды күшейту, MFA-ны айналып өту.
  • P3 (Medium): күдікті аномалия, қайталанған сәтсіз әрекеттер, сирек мінез-құлық.
  • P4 (Low): шу, гипотезалар, растаусыз TI-сәйкестік.
  • Эскалация: P1 - дереу on-call (24 × 7), P2 - жұмыс уақытында ≤ 1 сағат, қалғандары - кезек арқылы.
  • Дубликаттар мәліметі: «дауылды» болдырмау үшін нысандарды/сессияларды біріктіріңіз.

SLI/SLO/SLA SOC

SLI: табу уақыты (MTTD), растау уақыты (MTTA), containment дейінгі уақыт (MTTC), жалған оң (FP) және жіберіп алған (FN) сценарийлер кластерлеріндегі үлесі.

SLO (мысалдар):
  • MTTD P1 ≤ 5 мин; MTTC P1 ≤ 30 мин.
  • FP-rate high-severity ережелері бойынша ≤ 2 %/тәулік.
  • Негізгі ATT&CK техникасын жабу 90% ≥ (ең болмағанда бір детекцияның болуы).
  • SLA (сыртқы): бизнеспен келісіңіз (мысалы, P1 иелерінің хабарламасы ≤ 15 мин).

Детекция ережелері: сигнатура, эвристика, мінез-құлық

Sigma (мысал: әкімшілікке елден тыс күмәнді қол жеткізу)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (мысалы: сәтсіз логиндердің көбеюі + бір IP-тен әртүрлі аккаунттар)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

Қосымша (SQL, кестеден тыс PII қатынау)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA және контексті

Пайдаланушылар/рөлдер/сервистер бойынша базалық белсенділік профильдері (сағаттар, ASN, құрылғылар).
Аномалиялар: сирек IP/ASN, жаңа девайс, ерекше API тізбектері, белсенділік уақытының күрт өзгеруі.
Risk score оқиғалар = × салмақтың сигналдары (TI, аномалия, ресурстың сезімталдығы).

SOAR және жауаптарды автоматтандыру

Байыту: IP/домен/хештің TI-беделі, CMDB (хост/сервис иесі кім), HR (қызметкер мәртебесі), IAM-рөлі.
Іс-әрекеттер: хостты оқшаулау (EDR), IP/ASN/JA3 блоктау, токендерді/сеанстарды уақытша қайтарып алу, құпияларды мәжбүрлеп ауыстыру, қаражатты шығаруға тыйым салу/бонустарды мұздату.
Гвард-рейл: сыни әрекеттер үшін - екі факторлы аппрув; Бұғаттаудағы TTL.

SOC процестері

1. Триаж: контексті тексеру, дедупликация, TI-мен салыстыру, ATT&CK бойынша бастапқы жіктеу.
2. Тексеру: артефактілерді жинау (PCAP/EDR/логи), гипотезалар, таймлайн, залалды бағалау.
3. Containment/Eradication: оқшаулау, кілттерді/белгілерді қайтарып алу, патчинг, бұғаттау.
4. Қалпына келтіру: тазалықты бақылау, ротация, қайталану мониторингі.
5. RCA/Сабақтар: пост-инцидент, ережелерді/дашбордтарды жаңарту, тест-кейстерді қосу.

Тюнинг және детекция сапасы

Жаңа ережелер үшін Shadow режимі: санау, бірақ бұғаттамау.
Regression pack: CI ережелер тесті үшін «жақсы/жаман» оқиғалар кітапханасы.
FP-ремедиация: жолдар/рөлдер/ASN бойынша ерекшеліктер; «әдепкі жаман» ережесі - тек канареядан кейін.
Drift-мониторинг: базалық белсенділікті өзгерту → табалдырықтарды/модельдерді бейімдеу.

Дашбордтар және шолулар

Жедел: белсенді алерталар, P1/P2, шабуылдар картасы (гео/ASN), «top talkers», TI-сәйкестіктер таспасы.
Тактикалық: ATT & CK-жабыны, FP/FN, MTTD/MTTC трендтері, «шулы» көздер.
Бизнес: өнімдер/өңірлер бойынша оқыс оқиғалар, KPI-ға әсер ету (конверсия, Time-to-Wallet, төлемдерден бас тарту).

Сақтау, жекешелендіру және комплаенс

Ретеншн: кемінде 90 күн «жылы» логтар, талап етілетін жерде 1 жылдан ≥ мұрағат (финтех/реттегіштер).
PII/құпиялар: токенизация/бүркемелеу, рөлдер бойынша қол жеткізу, шифрлау.
Заңдық талаптар: оқыс оқиғалар бойынша есептілік, шешім қабылдау тізбектерін сақтау, сағаттардың қарама-қайшылығы (NTP).

Purple Team және жабынды тексеру

Threat hunting: TTP бойынша гипотезалар (мысалы, T1059 PowerShell), SIEM-ге ad-hoc сұраулар.
Purple Team: Red + Blue бірлескен спринттері - TTP іске қосу, триггерлерді тексеру, ережелерді жетілдіру.
Детекторлардың автотестері: non-prod және «көлеңкелі» prod кезеңдік эталондық оқиғалардың (atomic tests) re-play.

iGaming/финтех ерекшелігі

Сындарлы домендер: логин/тіркеу, депозиттер/қорытындылар, промо, PII/финге қол жеткізу. есеп беру.
Сценарийлер: ATO/credential stuffing, card testing, бонус-абьюз, төлемдерге инсайдерлік қолжетімділік.
Ережелер: velocity na '/login ', '/withdraw', демпотенттілік және HMAC вебхуктер, mTLS PSP, PAN/PII бар кестелерге қол жеткізу детекциялары.
Бизнес триггерлері: төлемдерден бас тартудың/chargeback күрт өсуі, конверсиялардағы ауытқулар, «нөлдік» депозиттердің жарқылдауы.

Runbook мысалдары (қысқаша)

P1: Расталған АТО және қаражатты шығару

1. SOAR сессияны бұғаттайды, refresh-токендерді қайтарып алады, қорытындыларды тоқтатады (TTL 24 сағ).
2. Өнім/қаржы иесіне хабарлау; password reset/2FA-rebind іске қосу.
3. Көрші аккаунттарды device/IP/ASN бағаны бойынша тексеру; кластерлер бойынша блокты кеңейту.
4. RCA: қайталау детекцияларын қосу, velocity шегін '/withdraw '-ке күшейту.

P2: Сервердегі экзекюшн (T1059)

1. EDR оқшаулау, жады/артефактілерді алу.
2. Соңғы деплойлардың/құпиялардың мүкәммалы; кілттерді ротациялау.
3. IOC-флит бойынша аң аулау; DNS/Proxy бағдарламасында C2 тексеру.
4. Пост-инцидент: Rule «Parent = nginx → bash» + Sysmon/Linux-audit үшін Sigma.

Жиі қателер

Нормалаусыз және TTL-мен SIEM шамадан тыс жүктелуі.
ATT&CK → «соқыр аймақтарда» маппингсіз детекциялар.
SOAR/байыту жоқ - ұзын MTTA, қол реті.
Ignor UEBA/мінез-құлық - «баяу» инсайдерлерді өткізу.
TTL → жоқ қатты жаһандық TI-блоктар бизнес-трафикті тоқтатады.
Регрессиялық тест ережелерінің болмауы.

Енгізу жол картасы

1. Логтарды түгендеу және қалыпқа келтіру (ECS/CEF), «ең аз жиынтық».
2. ATT & CK-жабын матрицасы және high-risk базалық детекциялары.
3. SLO және кезектер: P1-P4, on-call және эскалация.
4. SOAR-плейбуктер: байыту, containment-әрекеттер, TTL-блоктар.
5. UEBA және тәуекел-скоринг: профильдер, аномалиялар, дрейф-мониторинг.
6. Purple Team/детектор тестілері: shadow-режим, канарейка, regression pack.
7. Есептілік және комплаенс: ретеншн, жекешелендіру, бизнес-дашбордтар.

Жиынтық

Жетілген SOC - бұл толық телеметрия + сапалы детекциялар + ден қою тәртібі. Ережелерді MITRE ATT & CK-ға байланыстыру, SOAR-дағы байыту мен containment-ті автоматтандыру, нәтижені SLO көрсеткіштерімен өлшеу, Purple Team-дегі жабындыны үнемі тексеру - және сіздің мониторингіңіз шуға төзімді болады, нақты қауіптерге жылдам жауап береді және бизнес-метриканы қолдайды.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Telegram
@Gamble_GC
Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.