GH GambleHub

SOC Tehdit ve Uyarı İzleme

Kısa Özet

Etkili SOC üç temel üzerine inşa edilmiştir: telemetrinin bütünlüğü, kalite tespiti ve operasyonel disiplin (önceliklendirme, tırmanma, olay sonrası ve iyileştirme). Amaç: davetsiz misafirleri davranışsal ve imza göstergeleriyle hızlı bir şekilde tanımlamak, SLO içinde yanıt vermek ve kapsama alanını kaybetmeden yanlış pozitifleri en aza indirmek.

SOC izleme mimarisi

SIEM - olay alımı, normalleştirme ve korelasyon; gösterge panoları, arama, uyarı.
UEBA - kullanıcı/ana bilgisayar davranışsal analitiği, temel profiller ve anomaliler.
SOAR - yanıtın otomasyonu: uyarıların zenginleştirilmesi (TI, CMDB), sınırlama eylemlerinin düzenlenmesi.
TI (Tehdit İstihbaratı) - IOC/TTP/kritik güvenlik açığı beslemeleri; Kurallar ve zenginleştirme bağlamı.
Depolama - soruşturmalar için "sıcak" 7-30 gün, uyumluluk/retrospektif için "soğuk" 90-365 +.

Günlük kaynakları (minimum yeterli)

Kimlik ve erişim:
  • IdP/SSO (OIDC/SAML), MFA, PAM, VPN/ZTNA, dizinler (AD/AAD).
Uç noktalar:
  • EDR/AV, Sysmon/ETW (Windows), auditd/eBPF (Linux), MDM (cep telefonları).
Ağ ve çevre:
  • Güvenlik duvarları (L3/L7), WAF/WAAP, dengeleyiciler (NGINX/Envoy), DNS, proxy, NetFlow/sFlow/Zeek.
Bulutlar ve platformlar:
  • CloudTrail/Etkinlik Günlükleri, KMS/Key Vault, IAM olayları, Kubernetes (denetim, API sunucusu), konteyner güvenliği.
Uygulamalar ve veritabanları:
  • Yönetici denetimi, PII/ödemelere erişim, DDL/haklar, kritik iş etkinlikleri (para çekme, bonus, ödeme).
Posta ve işbirliği:
  • Kimlik avı/spam algılama, DLP, URL tıklamaları, ekler.

Normalleştirme: tek biçim (örneğin, ECS/CEF), zorunlu alanlar: 'zaman damgası', 'src/dst ip', 'kullanıcı', 'eylem', 'kaynak', 'sonuç', 'request _ id/trace _ id'.

Tehdit taksonomisi ve ATT&CK haritalama

MITRE ATT&CK bölümünde kurallar ve panolar oluşturun: İlk Erişim, Yürütme, Kalıcılık, Ayrıcalık Yükseltme, Savunma Kaçırma, Kimlik Bilgisi Erişimi, Keşif, Yanal Hareket, C2, Toplama/Eksfiltrasyon/Etki.
Her taktik için - minimum algılama ve kontrol panelleri "kapsama vs. sadakat".

Uyarı politikası ve önceliklendirme

Önem derecesi:
  • P1 (Kritik): aktif C2, başarılı ATO/belirteç hırsızlığı, şifreleme, ödeme exfiltrasyonu/PII.
  • P2 (Yüksek): altyapı/bulutta uygulama, ayrıcalıkların artması, MFA'yı atlamak.
  • P3 (Orta): Şüpheli anomali, tekrarlanan başarısız girişimler, nadir davranış.
  • P4 (Düşük): gürültü, hipotezler, onay olmadan TI eşleşmeleri.
  • Eskalasyon: P1 - hemen çağrı üzerine (24 × 7), P2 - çalışma saatlerinde ≤ 1 saat, gerisi - kuyruklar boyunca.
  • Roll-up: "Fırtına'yı önlemek için nesne/oturuma göre toplu uyarılar.

SLI/SLO/SLA SOC

SLI: algılama süresi (MTTD), onay süresi (MTTA), kontrol altına alma süresi (MTTC), senaryo kümelerinde yanlış pozitif (FP) ve cevapsız (FN) oranı.

SLO (örnekler):
  • MTTD P1 ≤ 5 dk; MTTC P1 ≤ 30 dk.
  • Yüksek şiddetli kurallara göre FP oranı ≤ %2/gün.
  • Anahtar ATT ve CK tekniklerinin kapsamı ≥ %90 (en az bir algılama varlığı).
  • SLA (harici): iş ile koordine (örneğin Sahiplerin P1 bildirimi ≤ 15 dakika).

Algılama kuralları: imzalar, sezgisel bilgiler, davranış

Sigma (örnek: ülke dışındaki yönetici paneline şüpheli erişim)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (örnek: başarısız oturum açma dalgalanması + aynı IP'den farklı hesaplar)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

Uygulama (SQL, program dışı PII erişimi)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA ve Bağlam

Kullanıcı/rol/hizmete göre temel aktivite profilleri (saat, ASN, cihaz).
Anomaliler: nadir IP/ASN, yeni cihaz, olağandışı API dizileri, aktivite süresinde keskin değişim.
Risk skoru olayları = sinyaller (TI, anomali, kaynak duyarlılığı) × ağırlıklar.

SOAR ve yanıt otomasyonu

Zenginleştirme: IP/domain/hash'in TI itibarı, CMDB (ana bilgisayar/hizmetin sahibi), İK (çalışan durumu), IAM rolü.
Eylemler: Ev sahibi izolasyonu (EDR), IP/ASN/JA3 engelleme, belirteçlerin/oturumların geçici olarak geri çekilmesi, sırların zorla döndürülmesi, fonların geri çekilmesinin yasaklanması/bonusların dondurulması.
Koruyucu raylar: kritik eylemler için - iki faktörlü cihaz; Kilitlerde TL.

SOC Süreçleri

1. Triyaj: bağlam denetimi, veri tekilleştirme, TI uyumlaştırması, birincil ATT ve CK sınıflandırması.
2. İnceleme: eserlerin toplanması (PCAP/EDR/logs), hipotezler, zaman çizelgesi, hasar değerlendirmesi.
3. Çevreleme/Eradikasyon: izolasyon, anahtar/belirteç iptali, yama, kilitler.
4. Kurtarma: temizlik kontrolü, rotasyon, tekrarlama izleme.
5. RCA/Dersler: Olay Sonrası, Güncelleme Kuralları/Gösterge Tabloları, Test Durumları Ekle.

Algılamaların ayarlanması ve kalitesi

Yeni kurallar için gölge modu: okuma, ancak engelleme.
Bölge paketi: CI kural testleri için'iyi/kötü "olayların bir kütüphane.
FP iyileştirme: yol/rol/ASN ile dışlamalar; "Varsayılan olarak kötülük" kuralı sadece kanaryalardan sonradır.
Drift izleme: temel aktivitede değişiklik - eşiklerin/modellerin uyarlanması.

Panolar ve incelemeler

Operasyonel: aktif uyarılar, P1/P2, saldırı haritası (geo/ASN), "top talkers", TI-match bandı.
Taktik: ATT ve CK kapsamı, FP/FN eğilimleri, MTTD/MTTC, gürültülü kaynaklar.
İş: ürün/bölgeye göre olaylar, KPI'lar üzerindeki etki (dönüşüm, Time-to-Wallet, ödeme hataları).

Depolama, gizlilik ve uyumluluk

Saklama: En az 90 gün "sıcak" günlükler ≥ gerektiğinde 1 yıllık arşiv (fintech/düzenleyiciler).
PII/sırlar: tokenization/maskeleme, rol erişimi, şifreleme.
Yasal gereklilikler: olay raporlama, karar zincirlerinin tutulması, saat tutarlılığı (NTP).

Mor Takım ve Kapsama Kontrolü

Tehdit avcılığı: TTP hipotezleri (örn. T1059 PowerShell), SIEM'de geçici sorgular.
Mor Takım: Kırmızı + Mavi ortak sprintler - TTP çalıştırma, tetikleyicileri kontrol etme, kuralları sonlandırma.
Algılamaların otomatik testleri: non-prod ve "gölge" prod'da referans olayların periyodik olarak yeniden oynanması (atomik testler).

iGaming/fintech özgüllüğü

Kritik alanlar: giriş/kayıt, para yatırma/sonuç, promosyon, PII/fin'e erişim. raporlar.
Senaryolar: ATO/kimlik bilgisi doldurma, kart testi, bonus kötüye kullanımı, ödemelere içeriden erişim.
Kurallar:'/login ','/withdraw'a hız, webhook'ların idempotensi ve HMAC, PSP'ye mTLS, PAN/PII ile tablolara erişimin algılanması.
İş tetikleyicileri: ödeme başarısızlıklarında/ters ibrazlarda keskin bir artış, dönüşümlerde anormallikler, "sıfır" mevduat patlamaları.

Runbook örnekleri (kısaltılmış)

P1: Onaylanmış ATO ve para çekme

1. SOAR oturumu bloke eder, yenileme belirteçlerini hatırlar, pimleri dondurur (TTL 24 saat).
2. Ürün/finans sahibini bilgilendirmek; Şifre reset/2FA-rebind başlat.
3. Komşu hesapları cihaz/IP/ASN sütununa göre kontrol edin; Bloğu kümelerle genişletin.
4. RCA: tekrar algılamaları ekleyin, hız eşiğini'/geri çekme'ye yükseltin.

P2: Sunucuda çalıştırma (T1059)

1. EDR izolasyonu, bellek/eser kaldırma.
2. En son mevduat/sırların envanteri; Anahtar rotasyon.
3. IOC filo avcılığı; DNS/Proxy'de C2 denetleniyor.
4. Olay sonrası: Sysmon/Linux-denetim için "Parent = nginx + bash" + Sigma kuralı.

Sık yapılan hatalar

Normalleştirme ve TTL olmadan gürültü ile SIEM aşırı yük.
ATT ve CK üzerinde eşlenmemiş tespitler - kör noktalar.
SOAR/zenginleştirme yok - uzun MTTA, manuel rutinler.
UEBA/davranışı göz ardı etme - "yavaş" içerdekileri atlama.
TTL olmayan sert global TI blokları - iş trafiğini keser.
Kuralların regresyon testlerinin eksikliği.

Uygulama Yol Haritası

1. Günlük envanteri ve normalleştirme (ECS/CEF), "minimum set".
2. ATT&CK kaplama matrisi ve temel yüksek riskli tespitler.
3. SLO ve kuyruklar: P1-P4, çağrı ve tırmanma.
4. SOAR oyun kitapları: zenginleştirme, sınırlama eylemleri, TTL blokları.
5. UEBA ve risk puanlaması: profiller, anomaliler, sürüklenme izleme.
6. Mor Takım/Algılama testleri: gölge modu, kanaryalar, regresyon paketi.
7. Raporlama ve uyumluluk: saklama, gizlilik, iş panoları.

Sonuç

Olgun SOC tam telemetri + nitel tespitler + yanıt disiplinidir. Kuralları MITRE ATT&CK'ya bağlayın, SOAR'da zenginleştirme ve muhafazayı otomatikleştirin, sonucu SLO metrikleriyle ölçün, Purple Team'deki kapsamı düzenli olarak kontrol edin - ve izlemeniz gürültüye dayanıklı olacak, gerçek tehditlere hızlı bir şekilde yanıt verecek ve iş metriklerini koruyacaktır.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.