GH GambleHub

SOC howplarynyň we aladalarynyň gözegçiligi

Gysgaça gysgaça

Netijeli SOC üç kitiň üstünde gurulýar: telemetriýanyň dolulygy, hil detekasiýalary we operasiýa düzgüni (ileri tutulýan, eskalasiýa, wakadan soňky we gowulaşmalar). Maksat: özüni alyp baryş we alamat görkezijileri boýunça hüjümçileri çalt kesgitlemek, SLO-nyň çäginde jogap bermek we örtügini ýitirmezden ýalan täsirleri azaltmak.

SOC-gözegçilik arhitekturasy

SIEM - wakalary kabul etmek, kadalaşdyrmak we baglanyşdyrmak; daşbordlar, gözleg, alerting.
UEBA - ulanyjylaryň/hostlaryň özüni alyp barşyny seljermek, esasy profiller we anomaliýalar.
SOAR - reaksiýanyň awtomatlaşdyrylmagy: alertleri baýlaşdyrmak (TI, CMDB), kontainment-hereketleriň orkestri.
TI (Threat Intelligence) - IOC/TTP/kritiki gowşak nokatlar; düzgünler we baýlaşdyrmak üçin kontekst.
Ammar - "gyzgyn" derňew üçin 7-30 gün, "sowuk" 90-365 + laýyk/retrospektiv üçin.

Giriş çeşmeleri (iň az ýeterlik)

Şahsyýet we elýeterlilik:
  • IdP/SSO (OIDC/SAML), MFA, PAM, VPN/ZTNA, kataloglar (AD/AAD).
Ahyrky nokatlar:
  • EDR/AV, Sysmon/ETW (Windows), auditd/eBPF (Linux), MDM (jübi telefonlary).
Tor we perimetri:
  • Feýerwollar (L3/L7), WAF/WAAP, balansçylar (NGINX/Envoy), DNS, proxy, NetFlow/sFlow/Zeek.
Bulutlar we platformalar:
  • CloudTrail/Activity Logs, KMS/Key Vault, IAM wakalary, Kubernetes (audit, API server), konteýner howpsuzlygy.
Programmalar we DB:
  • Dolandyryjylaryň barlagy, PII/töleglere, DDL/hukuklara, möhüm iş wakalaryna (withdraw, bonus, payout) elýeterlilik.
Poçta we hyzmatdaşlyk:
  • Fişing/spam-detekt, DLP, URL-düwmeler, goýmalar.

Kadalaşma: ýeke-täk format (mysal üçin, ECS/CEF), hökmany meýdanlar: 'timestamp', 'src/dst ip', 'user', 'action', 'resource', 'result', 'request _ id/trace _ id'.

Howplaryň taksonomiýasy we ATT & CK-kartlamak

MITRE ATT&CK: Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, C2, Color lection/Exfiltration/Impact.
Her taktika üçin - iň az deteksiýa we "coverage vs. fidelity" gözegçilik panelleri.

Alerting syýasaty we ileri tutulmagy

Severity:
  • P1 (Critical): active C2, üstünlikli ATO/belgi ogurlamak, şifrlemek, töleg/PII-ni aýyrmak.
  • P2 (High): infrastruktura/buluda ornaşdyrmak, artykmaçlyklary güýçlendirmek, MFA-dan aýlanyp geçmek.
  • P3 (Orta): şübheli anomaliýa, gaýtalanýan şowsuz synanyşyklar, seýrek hereket.
  • P4 (Low): tassyklamazdan ses, çaklamalar, TI-gabat gelmek.
  • Eskalasiýa: P1 - derrew on-call (24 × 7), P2 - iş wagty ≤ 1 sagat, galanlary - nobatlar arkaly.
  • Dublikat maglumatlary: "tupandan" gaça durmak üçin obýektler/sessiýalar boýunça aladalary jemläň.

SLI/SLO/SLA SOC

SLI: Tapylan wagt (MTTD), Tassyklanan wagt (MTTA), kontainmente çenli wagt (MTTC), ýalan oňyn (FP) we sypdyrylan (FN) ssenarileriň klasterlerinde paýy.

SLO (mysallar):
  • MTTD P1 ≤ 5 min; MTTC P1 ≤ 30 minut.
  • FP-rate ýokary severity düzgünleri boýunça ≤ 2 %/gün.
  • Esasy ATT&CK tehnikasyny ýapmak ≥ 90% (azyndan bir deteksiýanyň bolmagy).
  • SLA (daşarky): işewürlik bilen ylalaşyň (mysal üçin, P1 eýeleriniň habarnamasy ≤ 15 minut).

Deteksiýanyň düzgünleri: signatura, ewristika, özüni alyp baryş

Sigma (mysal: ýurduň daşyndaky administratora şübheli giriş)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (mysal: şowsuz loginleriň köpelmegi + bir IP-den dürli hasaplar)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

Programma (SQL, grafikden daşary PII girmek)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA we kontekst

Ulanyjylar/rollar/hyzmatlar boýunça esasy işjeňlik profilleri (sagat, ASN, enjamlar).
Anomaliýalar: seýrek IP/ASN, täze enjam, adaty bolmadyk API yzygiderliligi, işjeňlik wagtynyň düýpgöter üýtgemegi.
Risk score wakalar = signallar (TI, anomaliýa, çeşmäniň duýgurlygy) × agram.

SOAR we jogaplary awtomatlaşdyrmak

Baýlaşdyrmak: IP/domen/hashyň TI-abraýy, CMDB (hostyň/hyzmatyň eýesi kim), HR (işgär statusy), IAM-roly.
Hereketler: Host izolýasiýasy (EDR), IP/ASN/JA3 petiklemek, bellikleri/sessiýalary wagtlaýyn yzyna almak, syrlary mejbury üýtgetmek, serişdeleri yzyna almagy gadagan etmek/bonuslary doňdurmak.
Gward-rail: möhüm hereketler üçin - iki faktorly appruv; Blokirlemelerde TTL.

SOC prosesleri

1. Triaj: konteksti barlamak, de-duplikasiýa, TI bilen deňeşdirmek, ATT&CK boýunça başlangyç klassifikasiýa.
2. Derňew: artefaktlary ýygnamak (PCAP/EDR/loglar), çaklamalar, wagt aralygy, zyýany bahalandyrmak.
3. Containment/Eradication: izolýasiýa, açarlary/bellikleri yzyna almak, patching, blokirlemek.
4. Dikeldiş: arassalyga gözegçilik, aýlanyş, gaýtalanma gözegçiligi.
5. RCA/Sapaklar: post-waka, düzgünleri/dashbordlary täzelemek, synag hadysalaryny goşmak.

Deteksiýalary sazlamak we hili

Täze düzgünler üçin kölegeli re modeim: sanaň, ýöne bloklamaň.
Regression pack: düzgünleriň CI synaglary üçin "gowy/erbet" wakalaryň kitaphanasy.
FP-remediasiýa: ýollar/rollar/ASN boýunça kadadan çykmalar; "adaty erbet" düzgüni - diňe kanareýalardan soň.
Drift-monitoring: esasy işjeňligiň üýtgemegi → bosagalaryň/modelleriň uýgunlaşmagy.

Daşbordlar we synlar

Operatiw: işjeň alertler, P1/P2, hüjüm kartasy (geo/ASN), "top talkers", TI-gabat geliş lentasy.
Taktiki: ATT & CK-örtük, FP/FN, MTTD/MTTC tendensiýalary, "şowhunly" çeşmeler.
Işewürlik: önümler/sebitler boýunça hadysalar, KPI-e täsiri (konwersiýa, Time-to-Wallet, töleglerden ýüz öwürmek).

Saklamak, gizlinlik we gabat gelmek

Retenşn: azyndan 90 gün "ýyly" log, ≥ 1 ýyl arhiw talap edilýän ýerde (fintech/düzgünleşdiriji).
PII/syrlar: bellemek/gizlemek, rollara girmek, şifrlemek.
Hukuk talaplary: hadysalar boýunça hasabat bermek, karar kabul ediş zynjyrlaryny saklamak, sagatlaryň yzygiderliligi (NTP).

Purple Team we örtük barlagy

Threat hunting: TTP çaklamalary (mysal üçin, T1059 PowerShell), SIEM-de ad-hoc soraglary.
"Purple Team": "Red + Blue" bilelikdäki sprintleri - TTP-ni işe girizmek, triggerleri barlamak, düzgünleri gutarmak.
Detektorlaryň awtotestleri: non-prod we "kölegeli" prod.

iGaming/fintech aýratynlyklary

Möhüm domenler: login/hasaba alyş, depozitler/netijeler, mahabat, PII/fin elýeterliligi. hasabatlara.
Ssenariler: ATO/credential stuffing, card testing, bonus-hyýanat, töleglere içerki giriş.
Düzgünler: velocity na '/login ', '/withdraw', idempotentlik we HMAC vebhuk, PSP-e mTLS, PAN/PII tablisalaryna girmek üçin deteksiýa.
Işewürlik triggerleri: tölegleriň/chargebackyň şowsuzlyklarynyň, konwersiýalardaky anomaliýalaryň, "nol" goýumlaryň köpelmeginiň düýpgöter ýokarlanmagy.

Runbook mysallary (gysgaça)

P1: Tassyklanan ATO we serişdeleri çykarmak

1. SOAR sessiýany bloklaýar, refresh-tokenleri yzyna alýar, netijeleri doňdurýar (TTL 24 sagat).
2. Önümiň/maliýe eýesine habar bermek; password reset/2FA-rebind.
3. Goňşy hasaplary device/IP/ASN grafasy boýunça barlaň; Toplular boýunça bloky giňeltmek.
4. RCA: gaýtalama deteksiýalaryny goşmak, velocity-bosagasyny '/withdraw '-a güýçlendirmek.

P2: Serwerde çykyş (T1059)

1. EDR izolýasiýasy, ýady/artefaktlary aýyrmak.
2. Soňky deplolaryň/syrlaryň inwentary; açarlaryň aýlanmagy.
3. IOC-flit awy; DNS/Proxy-da C2 barlagy.
4. Post-waka: Sysmon/Linux-audit üçin Rule "Parent = nginx → bash" + Sigma.

Ýygy-ýygydan ýalňyşlyklar

Normalizasiýa we TTL bolmazdan SIEM-iň ses bilen aşa ýüklenmegi.
ATT&CK → "kör zolaklarda" mappingsiz deteksiýalar.
SOAR/baýlaşdyrma ýok - uzyn MTTA, el usullary.
Ignor UEBA/özüni alyp barşy - "haýal" içerki adamlaryň geçişi.
TTL → bolmasa gaty global TI bloklary iş traffigini kesýär.
Düzgünleriň regression synaglarynyň ýoklugy.

Giriş ýol kartasy

1. Loglary sanamak we kadalaşdyrmak (ECS/CEF), "iň az toplum".
2. ATT & CK-örtük matrisi we ýokary töwekgelçilikli esasy deteksiýalar.
3. SLO we nobatlar: P1-P4, on-call we eskalasiýa.
4. SOAR-pleýbuklar: baýlaşdyrmak, kontainment-hereketler, TTL-bloklar.
5. UEBA we töwekgelçilik skoring: profiller, anomaliýalar, süýşmek gözegçiligi.
6. Purple Team/detektor synaglary: shadow-mode, kanareýkalar, regression pack.
7. Hasabat we komplayens: retenşn, gizlinlik, biznes-daşbordlar.

Jemi

Kämillik ýaşyna ýeten SOC - bu doly telemetriýa + hil deteksiýasy + jogap bermek düzgüni. Düzgünleri MITRE ATT&CK bilen baglanyşdyryň, SOAR-da baýlaşdyrmagy we kontainment awtomatlaşdyryň, netijäni SLO görkezijileri bilen ölçäň, "Purple Team" -iň örtügini yzygiderli barlaň - gözegçiligiňiz sese çydamly bolar, hakyky howplara çalt jogap berer we iş ölçeglerini saklar.

Contact

Biziň bilen habarlaşyň

Islendik sorag ýa-da goldaw boýunça bize ýazyp bilersiňiz.Biz hemişe kömek etmäge taýýar.

Telegram
@Gamble_GC
Integrasiýany başlamak

Email — hökmany. Telegram ýa-da WhatsApp — islege görä.

Adyňyz obýýektiw däl / islege görä
Email obýýektiw däl / islege görä
Tema obýýektiw däl / islege görä
Habar obýýektiw däl / islege görä
Telegram obýýektiw däl / islege görä
@
Eger Telegram görkezen bolsaňyz — Email-den daşary şol ýerden hem jogap bereris.
WhatsApp obýýektiw däl / islege görä
Format: ýurduň kody we belgi (meselem, +993XXXXXXXX).

Düwmäni basmak bilen siz maglumatlaryňyzyň işlenmegine razylyk berýärsiňiz.