GH GambleHub

Monitorowanie zagrożeń i alarmów SOC

Krótkie podsumowanie

Skuteczna SOC opiera się na trzech filarach: kompletności telemetrii, wykrywania jakości i dyscypliny operacyjnej (priorytety, eskalacja, powypadkowa i poprawa). Cel: aby szybko zidentyfikować intruzów za pomocą wskaźników behawioralnych i sygnatur, odpowiedzieć w SLO i zminimalizować fałszywe pozytywy bez utraty zasięgu.

Architektura monitoringu SOC

SIEM - odbiór, normalizacja i korelacja zdarzeń; deski rozdzielcze, wyszukiwanie, ostrzeganie.
UEBA - analityka behawioralna użytkownika/hosta, profile wyjściowe i anomalie.
SOAR - automatyzacja reakcji: wzbogacanie wpisów (TI, CMDB), orkiestrowanie akcji ograniczających.
TI (Threat Intelligence) - IOC/TTP/critical vulnerability feeds; kontekst zasad i wzbogacania.
Przechowywanie - „gorące” 7-30 dni do badań, „zimne” 90-365 + dla zgodności/retrospektywne.

Źródła dziennika (minimum wystarczające)

Tożsamość i dostęp:
  • IdP/SSO (OIDC/SAML), MFA, PAM, VPN/ZTNA, katalogi (AD/AAD).
Punkty końcowe:
  • EDR/AV, Sysmon/ETW (Windows), auditd/eBPF (Linux), MDM (mobilne).
Sieć i obwód:
  • Zapory (L3/L7), WAF/WAAP, balancery (NGINX/Envoy), DNS, proxy, NetFlow/sFlow/Zeek.
Chmury i platformy:
  • Logi CloudTrail/Activity, KMS/Key Vault, wydarzenia IAM, Kubernetes (audyt, serwer API), bezpieczeństwo kontenerów.
Aplikacje i bazy danych:
  • Audyt administracyjny, dostęp do PII/płatności, DDL/prawa, krytyczne zdarzenia biznesowe (wypłata, premia, wypłata).
Poczta i współpraca:
  • Wykrywanie phishing/spamu, DLP, kliknięcia URL, załączniki.

Normalizacja: jednolity format (na przykład ECS/CEF), obowiązkowe pola: 'timestamp', 'src/dst ip', 'user', 'action', 'resource', 'result', 'request _ id/trace _ id'.

Taksonomia zagrożenia i mapowanie ATT i CK

Zbuduj zasady i deski rozdzielcze w sekcji MITRE ATT&CK: Wstępny dostęp, Wykonanie, Uporczywość, Eskalacja przywilejów, Oszustwo obronne, Dostęp wiarygodny, Odkrycie, Ruch boczny, C2, Kolekcja/Eksfiltracja/Wpływ.
Dla każdej taktyki - minimalne detekcje i panele sterowania „zasięg kontra wierność”.

Polityka ostrzegania i ustalanie priorytetów

Nasilenie:
  • P1 (Critical): aktywny C2, udana kradzież ATO/tokena, szyfrowanie, eksfiltracja płatności/PII.
  • P2 (Wysoka): wdrożenie w infrastrukturze/chmurze, eskalacja uprawnień, omijanie MSZ.
  • P3 (Medium): podejrzana anomalia, powtarzające się nieudane próby, rzadkie zachowanie.
  • P4 (Low): hałas, hipotezy, mecze TI bez potwierdzenia.
  • Eskalacja: P1 - natychmiast dyżur (24 × 7), P2 - w godzinach pracy ≤ 1 godzina, reszta - przez kolejki.
  • Roll-up: Aggregate alerts by object/session, aby uniknąć "storm'.

SLI/SLO/SLA SOC

SLI: czas wykrywania (MTTD), czas potwierdzenia (MTTA), czas do zatrzymania (MTTC), odsetek fałszywie dodatnich (FP) i pominiętych (FN) w klastrach scenariuszy.

SLO (przykłady):
  • MTTD P1 ≤ 5 min; MTTC P1 ≤ 30 min.
  • Szybkość FP zgodnie z zasadami wysokiej wagi ≤ 2 %/dzień.
  • Zasięg kluczowych technik ATT i CK ≥ 90% (obecność co najmniej jednego wykrycia).
  • SLA (zewnętrzne): koordynacja z przedsiębiorstwami (np. P1 powiadomienie właścicieli ≤ 15 min).

Zasady wykrywania: podpisy, heurystyka, zachowanie

Sigma (przykład: podejrzany dostęp do panelu administracyjnego poza granicami kraju)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (przykład: przepięcie nieudanych loginów + różne konta z tego samego IP)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

Aplikacja (SQL, dostęp poza harmonogramem PII)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA i kontekst

Podstawowe profile aktywności według użytkownika/roli/usługi (zegar, ASN, urządzenie).
Anomalie: rzadkie IP/ASN, nowe urządzenie, nietypowe sekwencje API, ostra zmiana czasu aktywności.
Zdarzenia punktacji ryzyka = sygnały (TI, anomalia, czułość zasobów) × wagi.

SOAR i automatyzacja odpowiedzi

Wzbogacenie: TI reputacja IP/domeny/hash, CMDB (który jest właścicielem hosta/usługi), HR (status pracownika), rola IAM.
Działania: izolacja gospodarza (EDR), blokowanie IP/ASN/JA3, czasowe wycofanie żetonów/sesji, przymusowa rotacja tajemnic, zakaz wycofywania środków/zamrożenie premii.
Szyny ochronne: do działań krytycznych - aparatura dwuskładnikowa; TTL na zamkach.

Procesy SOC

1. Triage: sprawdzanie kontekstu, deduplikacja, uzgadnianie TI, podstawowa klasyfikacja ATT i CK.
2. Badanie: zbiór artefaktów (PCAP/EDR/logs), hipotezy, linia czasowa, ocena uszkodzeń.
3. Przechowywanie/Eliminacja: izolacja, odwołanie klucza/tokena, łatanie, zamki.
4. Odzyskiwanie: kontrola czystości, rotacja, monitorowanie nawrotów.
5. RCA/Lekcje: Post-incydent, Zasady aktualizacji/Deski rozdzielcze, Dodaj skrzynki testowe.

Dostrajanie i jakość wykrywalności

Tryb cienia dla nowych zasad: czytaj, ale nie blokować.
Pakiet regionalny: biblioteka wydarzeń „dobrych/złych” dla testów reguł CI.
Rekultywacja PR: wyłączenia według ścieżki/roli/ASN; zasada „zło domyślnie” jest tylko po kanarkach.
Monitorowanie dryfu: zmiana aktywności wyjściowej → dostosowanie progów/modeli.

Deski rozdzielcze i recenzje

Operacja: aktywne wpisy, P1/P2, mapa ataku (geo/ASN), „top talkers”, taśma TI-match.
Taktyczne: pokrycie ATT i CK, trendy FP/FN, MTTD/MTTC, hałaśliwe źródła.
Biznes: incydenty według produktu/regionu, wpływ na KPI (konwersja, czas do portfela, awarie płatności).

Przechowywanie, prywatność i zgodność

Przechowywanie: co najmniej 90 dni „ciepłych” kłód, ≥ 1 rok archiwum w razie potrzeby (fintech/regulatory).
PII/tajemnice: tokenizacja/maskowanie, dostęp do ról, szyfrowanie.
Wymogi prawne: zgłaszanie incydentów, zatrzymywanie łańcuchów decyzji, spójność zegara (NTP).

Zespół fioletowy i kontrola pokrycia

Polowanie na zagrożenia: hipotezy TTP (np. T1059 PowerShell), zapytania ad hoc w SIEM.
Purple Team: Red + Blue sprints - uruchomienie TTP, sprawdzanie wyzwalaczy, finalizowanie zasad.
Automatyczne badania wykrywalności: okresowe ponowne odtwarzanie zdarzeń referencyjnych (testy atomowe) w nie-prod i „cień” prod.

iGaming/specyfika fintechu

Domeny krytyczne: login/registration, deposits/conclusions, promo, access to PII/fin. sprawozdania.
Scenariusze: ATO/nadziewanie wiarygodne, testowanie kart, nadużycia bonusowe, dostęp poufny do płatności.
Zasady: prędkość do '/logowania ', '/wycofania', idempotencja i HMAC haków webowych, mTLS do PSP, wykrywanie tabel dostępu z PAN/PII.
Wyzwalacze biznesowe: gwałtowny wzrost niepowodzeń w płatnościach/obciążeń zwrotnych, nieprawidłowości w konwersjach, wybuchy „zerowych” depozytów.

Przykłady książek startowych (skrócone)

P1: Potwierdzone ATO i wypłaty

1. SOAR blokuje sesję, przypomina żetony odświeżające, zamraża szpilki (TTL 24 h).
2. Powiadom właściciela o produkcie/finansach; uruchom reset/2FA-rebind hasła.
3. Sprawdź sąsiednie konta według kolumny urządzenia/IP/ASN; rozszerzyć blok o klastry.
4. RCA: dodać detekcje powtarzania, zwiększyć próg prędkości do '/wycofać '.

P2: Wykonanie na serwerze (T1059)

1. Izolacja EDR, usuwanie pamięci/artefaktów.
2. Inwentaryzacja najnowszych depozytów/tajemnic; rotacja klucza.
3. polowania na flotę IOC; sprawdzanie C2 w DNS/Proxy.
4. Post-incydent: Zasada „Parent = nginx → bash” + Sigma dla Sysmon/Linux-audit.

Częste błędy

Przeciążenie SIEM hałasem bez normalizacji i TTL.
Niezaplanowane detekcje na ATT&CK → ślepe miejsca.
Brak SOAR/wzbogacenie - długi MTTA, rutyny ręczne.
Ignorowanie UEBA/zachowania - pominięcie „powolnych” insiderów.
Sztywne globalne bloki TI bez TTL → ograniczyć ruch biznesowy.
Brak testów regresji zasad.

Plan realizacji

1. Spis dzienników i normalizacja (ECS/CEF), „zestaw minimalny”.
2. Matryca powłoki ATT i CK i podstawowe wykrywanie wysokiego ryzyka.
3. SLO i kolejki: P1-P4, dyżury i eskalacja.
4. SOAR playbooks: wzbogacenie, akcje przechowawcze, bloki TTL.
5. UEBA i ocena ryzyka: profile, anomalie, monitorowanie dryfu.
6. Fioletowy zespół/Wykryć testy: tryb cieni, kanary, pakiet regresji.
7. Sprawozdawczość i zgodność: zachowanie, prywatność, centrale operacyjne.

Wynik

Dojrzały SOC to kompletna telemetria + wykrywanie jakościowe + dyscyplina odpowiedzi. Powiązaj zasady z MITRE ATT&CK, zautomatyzuj wzbogacanie i przechowywanie w SOAR, zmierz wynik za pomocą mierników SLO, regularnie sprawdzaj zasięg w zespole Purple Team - a Twój monitoring będzie odporny na hałas, szybko reaguj na realne zagrożenia i utrzymuj wskaźniki biznesowe.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Telegram
@Gamble_GC
Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.