Мониторинг угроз и алерты SOC

Краткое резюме

Эффективный SOC строится на трех китах: полнота телеметрии, качественные детекции и операционная дисциплина (приоритизация, эскалации, пост-инцидент и улучшения). Цель: быстро выявлять злоумышленников по поведенческим и сигнатурным индикаторам, реагировать в пределах SLO и минимизировать ложные срабатывания без потери покрытия.

Архитектура SOC-мониторинга

SIEM — прием, нормализация и корреляция событий; дашборды, поиск, алертинг.
UEBA — поведенческая аналитика пользователей/хостов, базовые профили и аномалии.
SOAR — автоматизация реагирования: обогащение алертов (TI, CMDB), оркестрация containment-действий.
TI (Threat Intelligence) — фиды IOC/TTP/критичных уязвимостей; контекст для правил и обогащения.
Хранилище — «горячие» 7–30 дней для расследований, «холодные» 90–365+ для комплаенса/ретроспективы.

Источники логов (минимально достаточные)

Идентичность и доступ:

IdP/SSO (OIDC/SAML), MFA, PAM, VPN/ZTNA, каталоги (AD/AAD).

Конечные точки:

EDR/AV, Sysmon/ETW (Windows), auditd/eBPF (Linux), MDM (мобилки).

Сеть и периметр:

Файрволы (L3/L7), WAF/WAAP, балансеры (NGINX/Envoy), DNS, прокси, NetFlow/sFlow/Zeek.

Облака и платформы:

CloudTrail/Activity Logs, KMS/Key Vault, IAM события, Kubernetes (audit, API server), контейнерная безопасность.

Приложения и БД:

Аудит админок, доступ к PII/платежам, DDL/права, критичные бизнес-события (withdraw, bonus, payout).

Почта и коллаборация:

Фишинг/спам-детект, DLP, URL-клики, вложения.

Нормализация: единый формат (например, ECS/CEF), обязательные поля: `timestamp`, `src/dst ip`, `user`, `action`, `resource`, `result`, `request_id/trace_id`.

Таксономия угроз и ATT&CK-картирование

Стройте правила и дашборды в разрезе MITRE ATT&CK: Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, C2, Collection/Exfiltration/Impact.
Для каждой тактики — минимальные детекции и контрольные панели «coverage vs. fidelity».

Политика алертинга и приоритизация

Severity:

P1 (Critical): активный C2, успешный ATO/похищение токенов, шифрование, эксфильтрация платежных/PII.
P2 (High): внедрение в инфраструктуру/облако, эскалации привилегий, обход MFA.
P3 (Medium): подозрительная аномалия, повторные неудачные попытки, редкое поведение.
P4 (Low): шум, гипотезы, TI-совпадения без подтверждения.
Эскалации: P1 — немедленно on-call (24×7), P2 — в рабочее время ≤ 1 ч, остальные — через очереди.
Сведение дубликатов: агрегируйте алерты по объектам/сессиям, чтобы избегать «шторма».

SLI/SLO/SLA SOC

SLI: время обнаружения (MTTD), время подтверждения (MTTA), время до containment (MTTC), доля ложноположительных (FP) и пропущенных (FN) на кластерах сценариев.

SLO (примеры):

MTTD P1 ≤ 5 мин; MTTC P1 ≤ 30 мин.
FP-rate по high-severity правилам ≤ 2%/сутки.
Покрытие ключевых ATT&CK техник ≥ 90% (наличие хотя бы одной детекции).
SLA (внешние): согласуйте с бизнесом (например, P1 уведомление владельцев ≤ 15 мин).

Правила детекции: сигнатуры, эвристика, поведение

Sigma (пример: подозрительный доступ к админке вне страны)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (пример: всплеск неудачных логинов + разные аккаунты с одного IP)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

Приложение (SQL, доступ к PII вне графика)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA и контекст

Профили базовой активности по пользователям/ролям/сервисам (часы, ASN, устройства).
Аномалии: редкие IP/ASN, новый девайс, необычные последовательности API, резкая смена времени активности.
Risk score события = сигналы (TI, аномалия, чувствительность ресурса) × веса.

SOAR и автоматизация ответов

Обогащение: TI-репутация IP/домена/хеша, CMDB (кто владелец хоста/сервиса), HR (статус сотрудника), IAM-роль.
Действия: изоляция хоста (EDR), блокировка IP/ASN/JA3, временный отзыв токенов/сеансов, принудительная ротация секретов, запрет вывода средств/заморозка бонусов.
Гвард-рейлы: для критичных действий — двухфакторный аппрув; TTL на блокировках.

Процессы SOC

1. Триаж: проверка контекста, дедупликация, сверка с TI, первичная классификация по ATT&CK.
2. Расследование: сбор артефактов (PCAP/EDR/логи), гипотезы, таймлайн, оценка ущерба.
3. Containment/Eradication: изоляция, отзыв ключей/токенов, патчинг, блокировки.
4. Восстановление: контроль чистоты, ротации, мониторинг повторения.
5. RCA/Уроки: пост-инцидент, обновление правил/дашбордов, добавление тест-кейсов.

Тюнинг и качество детекций

Shadow-режим для новых правил: считать, но не блокировать.
Regression pack: библиотека «хороших/плохих» событий для CI тестов правил.
FP-ремедиация: исключения по путям/ролям/ASN; правило «злое по умолчанию» — только после канареек.
Drift-мониторинг: изменение базовой активности → адаптация порогов/моделей.

Дашборды и обзоры

Оперативные: активные алерты, P1/P2, карта атак (гео/ASN), «top talkers», лента TI-совпадений.
Тактические: ATT&CK-покрытие, тренды FP/FN, MTTD/MTTC, «шумящие» источники.
Бизнес: инциденты по продуктам/регионам, влияние на KPI (конверсия, Time-to-Wallet, отказов выплат).

Хранение, приватность и комплаенс

Ретеншн: минимум 90 дней «теплых» логов, ≥ 1 года архив там, где требуется (финтех/регуляторы).
PII/секреты: токенизация/маскирование, доступ по ролям, шифрование.
Юридические требования: отчетность по инцидентам, хранение цепочек принятия решений, непротиворечивость часов (NTP).

Purple Team и проверка покрытия

Threat hunting: гипотезы по TTP (напр., T1059 PowerShell), ad-hoc запросы в SIEM.
Purple Team: совместные спринты Red+Blue — запуск TTP, проверка триггеров, доработка правил.
Автотесты детектов: периодический re-play эталонных событий (atomic tests) в non-prod и «теневом» prod.

Специфика iGaming/финтех

Критичные домены: логин/регистрация, депозиты/выводы, промо, доступ к PII/фин. отчетам.
Сценарии: ATO/credential stuffing, card testing, бонус-абьюз, инсайдерский доступ к выплатам.
Правила: velocity на `/login`, `/withdraw`, идемпотентность и HMAC вебхуков, мTLS к PSP, детекции на доступ к таблицам с PAN/PII.
Триггеры бизнеса: резкий рост отказов платежей/chargeback, аномалии в конверсиях, всплески «нулевых» депозитов.

Примеры runbook-ов (сокращенно)

P1: Подтвержденный ATO и вывод средств

1. SOAR блокирует сессию, отзывает refresh-токены, замораживает выводы (TTL 24 ч).
2. Уведомить владельца продукта/финансов; запустить password reset/2FA-rebind.
3. Проверить соседние аккаунты по device/IP/ASN графу; расширить блок по кластерам.
4. RCA: добавить детекции повторов, усилить velocity-порог на `/withdraw`.

P2: Экзекюшн на сервере (T1059)

1. Изоляция EDR, снятие памяти/артефактов.
2. Инвентарь последних деплоев/секретов; ротация ключей.
3. IOC-охота по флиту; проверка C2 в DNS/Proxy.
4. Пост-инцидент: Rule «Parent=nginx → bash» + Sigma для Sysmon/Linux-audit.

Частые ошибки

Перегрузка SIEM шумом без нормализации и TTL.
Детекции без маппинга на ATT&CK → «слепые зоны».
Нет SOAR/обогащения — длинный MTTA, ручные рутины.
Игнор UEBA/поведения — пропуск «медленных» инсайдеров.
Жесткие глобальные TI-блоки без TTL → режут бизнес-трафик.
Отсутствие регрессионных тестов правил.

Дорожная карта внедрения

1. Инвентаризация логов и нормализация (ECS/CEF), «минимальный набор».
2. ATT&CK-матрица покрытия и базовые детекции high-risk.
3. SLO и очереди: P1–P4, on-call и эскалации.
4. SOAR-плейбуки: обогащение, containment-действия, TTL-блоки.
5. UEBA и риск-скоринг: профили, аномалии, дрейф-мониторинг.
6. Purple Team/тесты детектов: shadow-режим, канарейки, regression pack.
7. Отчетность и комплаенс: ретеншн, приватность, бизнес-дашборды.

Итог

Зрелый SOC — это полная телеметрия + качественные детекции + дисциплина реагирования. Привяжите правила к MITRE ATT&CK, автоматизируйте обогащение и containment в SOAR, измеряйте результат SLO-показателями, регулярно проверяйте покрытие в Purple Team — и ваш мониторинг будет устойчив к шуму, быстро реагировать на реальные угрозы и поддерживать бизнес-метрики.