GH GambleHub

Мониторинги таҳдид ва ҳушдордиҳии SOC

Хулосаи мухтасар

SOC-и муассир ба се рукн асос ёфтааст: пуррагии телеметрия, муайянкунии сифат ва интизоми амалиётӣ (афзалият, шиддат, пас аз ҳодиса ва такмил). Ҳадаф: зуд муайян кардани вайронкорон аз рӯи нишондиҳандаҳои рафтор ва имзо, вокуниш дар дохили SLO ва кам кардани мусбатҳои бардурӯғ бидуни аз даст додани фарогирӣ.

Меъмории мониторинги SOC

SIEM - қабули ҳодисаҳо, мӯътадил ва таносуб; панели панелҳо, ҷустуҷӯ, огоҳӣ.
UEBA - таҳлили рафтории корбар/мизбон, профилҳои ибтидоӣ ва аномалия.
SOAR - автоматикунонии аксуламал: ғанӣ гардонидани огоҳиҳо (TI, CMDB), оркестри амалҳои нигоҳдорӣ.
TI (Threat Intelligence) - каналҳои осебпазирии IOC/TTP/интиқодӣ; контекст барои қоидаҳо ва ғанисозӣ.
Нигоҳдорӣ - "гарм" 7-30 рӯз барои тафтишот, "хунук" 90-365 + барои мувофиқат/ретроспективӣ.

Манбаъҳои журнал (ҳадди аққал кофӣ)

Шахсият ва дастрасӣ:
  • IDP/SSO (OIDC/SAML), ВКХ, PAM, VPN/ZTNA, феҳристҳо (AD/AAD).
Нуқтаҳои охирин:
  • EDR/AV, Sysmon/ETW (Windows), аудитд/eBPF (Linux), MDM (мобилӣ).
Шабака ва периметр:
  • Firewalls (L3/L7), WAF/WAAP, тавозунҳо (NGINX/Envoy), DNS, прокси, Net
Абрҳо ва платформаҳо:
  • Гузоришҳои Cloud-Trail/Фаъолият, KMS/Key Vault, чорабиниҳои IAM, Кубернетес (аудит, сервери API), амнияти контейнер.
Барномаҳо ва пойгоҳи додаҳо:
  • Аудити маъмурӣ, дастрасӣ ба PII/пардохтҳо, DDL/ҳуқуқҳо, чорабиниҳои муҳими тиҷорӣ (бозпас гирифтан, бонус, пардохт).
Почта ва ҳамкорӣ:
  • Муайянкунии фишинг/спам, DLP, кликҳои URL, замимаҳо.

Нормализатсия: формати ягона (масалан, ECS/CEF), майдонҳои ҳатмӣ: 'timestamp', 'src/dst ip', 'корбар', 'амал', 'манбаъ', 'натиҷа', 'request _ id/trace _ id'.

Таксономияи таҳдид ва харитасозии ATT&CK

Дар бахши MITRE ATT&CK қоидаҳо ва панелҳо созед: Дастрасии ибтидоӣ, иҷро, истодагарӣ, густариши имтиёз, саркашӣ аз мудофиа, дастрасии эътимоднок, кашф, ҳаракати паҳлуӣ, C2, ҷамъоварӣ/хориҷшавӣ/таъсир.
Барои ҳар як тактика - ҳадди аққали ошкоркунӣ ва панелҳои назоратӣ "фарогирӣ ва вафодорӣ".

Сиёсати ҳушдор ва афзалият

Вазнинӣ:
  • P1 (Critical): C2 фаъол, дуздии бомуваффақияти ATO/токен, рамзгузорӣ, exfiltration пардохт/PII.
  • P2 (баланд): татбиқ дар инфрасохтор/абр, густариши имтиёзҳо, гузаштан аз ВКХ.
  • P3 (Миёна): аномалияи шубҳанок, кӯшиши такрори бемуваффақият, рафтори нодир.
  • P4 (Паст): садо, фарзияҳо, TI бидуни тасдиқ мувофиқат мекунанд.
  • Афзоиш: P1 - фавран ҳангоми занг (24 × 7), P2 - дар соатҳои корӣ ≤ 1 соат, боқимонда - тавассути навбатҳо.
  • Рӯйпӯш: Огоҳиҳои умумӣ аз ҷониби объект/сессия барои пешгирӣ кардани "тӯфон".

SLI/SLO/SLA SOC

SLI: вақти муайянкунӣ (MTTD), вақти тасдиқ (MTTA), вақт барои нигоҳдорӣ (MTTC), таносуби мусбати бардурӯғ (FP) ва пазмон (FN) дар кластерҳои сенария.

SLO (намунаҳо):
  • MTTD P1 ≤ 5 дақ; MTTC P1 ≤ 30 дақиқа.
  • Меъёри FP мувофиқи қоидаҳои вазнинӣ ≤ 2% дар як рӯз.
  • Фарогирии усулҳои асосии ATT&CK ≥ 90% (мавҷудияти ҳадди аққал як муайянкунӣ).
  • SLA (беруна): ҳамоҳангсозӣ бо тиҷорат (масалан, Огоҳии P1 дар бораи соҳибон ≤ 15 дақиқа).

Қоидаҳои муайянкунӣ: имзоҳо, эвристика, рафтор

Сигма (мисол: дастрасии шубҳанок ба панели маъмурӣ берун аз кишвар)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (мисол: афзоиши вурудоти ноком + ҳисобҳои гуногун аз ҳамон IP)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

Ариза (SQL, дастрасии ҷадвали PII)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA ва контекст

Профилҳои асосии фаъолият аз ҷониби корбар/нақш/хидмат (соат, ASN, дастгоҳ).
Аномалияҳо: IP/ASN нодир, дастгоҳи нав, пайдарпайии ғайриоддии API, тағироти якбора дар вақти фаъолият.
Рӯйдодҳои холҳои хатар = сигналҳо (TI, аномалия, ҳассосияти захираҳо) × вазн.

SOAR ва автоматизатсияи вокуниш

Ғанисозӣ: Эътибори TI аз IP/domain/hash, CMDB (ки соҳиби/хидмат аст), HR (мақоми корманд), нақши IAM.
Амалҳо: ҷудокунии мизбон (EDR), бастани IP/ASN/JA3, муваққатан гирифтани нишонаҳо/сессияҳо, гардиши маҷбурии сиррҳо, манъи бозпас гирифтани маблағ/яхкунонии мукофотпулӣ.
Рельсҳои муҳофизатӣ: барои амалҳои интиқодӣ - дастгоҳи дуҷониба; TTL дар қуфлҳо.

Равандҳои SOC

1. Сегона: санҷиши контекст, ихтисор кардан, оштӣ кардани TI, таснифи ибтидоии ATT&CK.
2. Тафтишот: ҷамъоварии артефактҳо (PCAP/EDR/гузоришҳо), фарзияҳо, ҷадвал, арзёбии зарар.
3. Нигоҳ доштан/решакан кардан: ҷудокунӣ, бекоркунии калид/аломат, часпондан, қуфлҳо.
4. Барқароршавӣ: назорати тозагӣ, гардиш, мониторинги такрорӣ.
5. RCA/Дарсҳо: Ҳодисаҳои пас аз ҳодиса, Қоидаҳои навсозӣ/Панели панелҳо, илова кардани парвандаҳои санҷишӣ.

Танзими ва сифати ошкоркунӣ

Ҳолати сояҳо барои қоидаҳои нав: хонед, вале блок накунед.
Бастаи минтақавӣ: китобхонаи рӯйдодҳои "хуб/бад" барои санҷишҳои қоидаҳои CI.
Барқарорсозии FP: истисноҳо бо роҳи/нақш/ASN; қоидаи "бад бо нобаёнӣ" танҳо пас аз канарейкаҳо аст.
Мониторинги Drift: тағирот дар фаъолияти ибтидоӣ → мутобиқсозии ҳудудҳо/моделҳо.

Панели панелҳо ва баррасиҳо

Амалиёт: огоҳиҳои фаъол, P1/P2, харитаи ҳамла (geo/ASN), "гуфтугӯи боло", навори TI-match.
Тактикӣ: фарогирии ATT&CK, тамоюлҳои FP/FN, MTTD/MTTC, манбаъҳои ғалоғула.
Тиҷорат: ҳодисаҳо аз рӯи маҳсулот/минтақа, таъсир ба KPI (табдили вақт ба ҳамён, нокомии пардохт).

Нигоҳдорӣ, махфият ва мувофиқат

Нигоҳдорӣ: ҳадди аққал 90 рӯзи гузоришҳои "гарм", ≥ бойгонии 1-сола дар ҳолати зарурӣ (fintech/танзимкунанда).
PII/асрҳо: токенизатсия/ниқоб, дастрасӣ ба нақш, рамзгузорӣ.
Талаботи қонунӣ: гузоришдиҳӣ дар бораи ҳодисаҳо, нигоҳ доштани занҷирҳои қарор, мувофиқати соат (NTP).

Санҷиши гурӯҳи арғувон ва фарогирӣ

Шикори таҳдид: гипотезаҳои TTP (масалан, T1059 PowerShell), дархостҳои махсус дар SIEM.
Гурӯҳи арғувон: Sprints муштараки сурх + кабуд - идора кардани TTP, санҷиши триггерҳо, қоидаҳои ниҳоӣ.
Санҷишҳои худкори ошкоркунӣ: бозсозии даврии рӯйдодҳои истинод (санҷишҳои атомӣ) дар протсесси ғайри прост ва "соя".

Хусусияти бозӣ/fintech

Соҳаҳои муҳим: воридшавӣ/бақайдгирӣ, амонатҳо/хулосаҳо, промо, дастрасӣ ба PII/фин. гузоришҳо.
Сенарияҳо: ATO/қуттиҳои эътимоднок, санҷиши кортҳо, сӯиистифода аз бонус, дастрасии инсайдер ба пардохтҳо.
Қоидаҳо: суръат ба '/воридшавӣ ', '/бозпас гирифтан', idempotency ва HMAC-и webhooks, MTLS ба PSP, муайян кардани ҷадвалҳои дастрасӣ бо PAN/PII.
Триггерҳои тиҷорӣ: якбора зиёд шудани нокомии пардохт/пардохт, аномалияҳо дар табдилдиҳӣ, буридани пасандозҳои "сифр".

Намунаҳои китобчаҳо (ихтисоршуда)

P1: ATO-и тасдиқшуда ва хуруҷҳо

1. SOAR ҷаласаро масдуд мекунад, нишонаҳои навро ба ёд меорад, сӯзанҳоро ях мекунад (TTL 24 соат).
2. Огоҳ кардани соҳиби маҳсулот/молия; оғози reset/2FA-rebind гузарвожа.
3. Ҳисобҳои ҳамсояро аз рӯи сутуни дастгоҳ/IP/ASN санҷед; блокро аз ҷониби кластерҳо васеъ кунед.
4. RCA: бозёфтҳои такрорӣ илова кунед, ҳадди суръатро ба '/бозпас гирифтан 'зиёд кунед.

P2: Иҷро дар сервер (T1059)

1. Ҷудокунии EDR, бартараф кардани хотира/артефакт.
2. Инвентаризатсияи амонатҳо/сирри охирин; гардиши калидӣ.
3. Шикори парки IOC; санҷиши C2 дар DNS/Proxy.
4. Ҳодисаи баъдӣ: Қоидаи "Волидайн = nginx → bash" + Сигма барои Sysmon/Linux-аудит.

Хатогиҳои зуд-зуд

Изофабори SIEM бо садо бидуни нормализатсия ва TTL.
Бозёфтҳои истифоданашуда дар ATT&CK → нуқтаҳои нобино.
Не SOAR/ғанисозӣ - MTTA дароз, реҷаҳои дастӣ.
Нодида гирифтани UEBA/рафтор - партофтани инсайдерон "суст".
Блокҳои қатъии глобалии TI бидуни TTL → трафики тиҷоратро кам мекунанд.
Набудани санҷишҳои регрессияи қоидаҳо.

Харитаи роҳсозӣ

1. Инвентаризатсия ва муқарраркунии журнал (ECS/CEF), "маҷмӯи ҳадди аққал".
2. Матритсаи қабати ATT&CK ва ошкоркунии асосии хавфи баланд.
3. SLO ва навбатҳо: P1-P4, занг ва шиддат.
4. Китобҳои бозикунии SOAR: ғанисозӣ, амалҳои нигоҳдорӣ, блокҳои TTL.
5. UEBA ва баҳодиҳии хатарҳо: профилҳо, аномалияҳо, мониторинги дрифт.
6. Гурӯҳи арғувон/Муайян кардани озмоишҳо: ҳолати соя, канарейка, бастаи регрессия.
7. Ҳисобот ва мувофиқат: нигоҳдорӣ, махфият, панелҳои корӣ.

Натиҷа

SOC-и баркамол телеметрия + муайянкунии сифатӣ + интизоми вокуниш мебошад. Қоидаҳои истинод ба MITRE ATT&CK, автоматикунонӣ ва нигоҳдорӣ дар SOAR, натиҷаро бо ченакҳои SLO чен кунед, фарогирии дастаи арғувонро мунтазам тафтиш кунед - ва мониторинги шумо ба садо тобовар хоҳад буд, ба таҳдидҳои воқеӣ зуд вокуниш нишон диҳед ва нишондиҳандаҳои тиҷоратро нигоҳ доред.

Contact

Тамос гиред

Барои саволҳо е дастгирӣ ба мо муроҷиат кунед.Мо ҳамеша омодаем!

Telegram
@Gamble_GC
Оғози интегратсия

Email — муҳим аст. Telegram е WhatsApp — ихтиерӣ.

Номи шумо ихтиерӣ
Email ихтиерӣ
Мавзӯъ ихтиерӣ
Паем ихтиерӣ
Telegram ихтиерӣ
@
Агар Telegram нависед — ҷавобро ҳамон ҷо низ мегиред.
WhatsApp ихтиерӣ
Формат: рамзи кишвар + рақам (масалан, +992XXXXXXXXX).

Бо фиристодани форма шумо ба коркарди маълумот розӣ ҳастед.