GH GambleHub

Моніторинг загроз та алерти SOC

Коротке резюме

Ефективний SOC будується на трьох китах: повнота телеметрії, якісні детекції та операційна дисципліна (пріоритизація, ескалації, пост-інцидент і поліпшення). Мета: швидко виявляти зловмисників за поведінковими і сигнатурними індикаторами, реагувати в межах SLO і мінімізувати помилкові спрацьовування без втрати покриття.

Архітектура SOC-моніторингу

SIEM - прийом, нормалізація і кореляція подій; дашборди, пошук, алертинг.
UEBA - поведінкова аналітика користувачів/хостів, базові профілі та аномалії.
SOAR - автоматизація реагування: збагачення алертів (TI, CMDB), оркестрація containment-дій.
TI (Threat Intelligence) - фіди IOC/TTP/критичних вразливостей; контекст для правил і збагачення.
Сховище - «гарячі» 7-30 днів для розслідувань, «холодні» 90-365 + для комплаєнсу/ретроспективи.

Джерела логів (мінімально достатні)

Ідентичність та доступ:
  • IdP/SSO (OIDC/SAML), MFA, PAM, VPN/ZTNA, каталоги (AD/AAD).
Кінцеві точки:
  • EDR/AV, Sysmon/ETW (Windows), auditd/eBPF (Linux), MDM (мобілки).
Мережа та периметр:
  • Файрволи (L3/L7), WAF/WAAP, балансери (NGINX/Envoy), DNS, проксі, NetFlow/sFlow/Zeek.
Хмари та платформи:
  • CloudTrail/Activity Logs, KMS/Key Vault, IAM події, Kubernetes (audit, API server), контейнерна безпека.
Додатки та БД:
  • Аудит адмінок, доступ до PII/платежів, DDL/права, критичні бізнес-події (withdraw, bonus, payout).
Пошта і колаборація:
  • Фішинг/спам-детект, DLP, URL-кліки, вкладення.

Нормалізація: єдиний формат (наприклад, ECS/CEF), обов'язкові поля: `timestamp`, `src/dst ip`, `user`, `action`, `resource`, `result`, `request_id/trace_id`.

Таксономія загроз і ATT & CK-картування

Будуйте правила і дашборди в розрізі MITRE ATT&CK: Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, C2, Collection/Exfiltration/Impact.
Для кожної тактики - мінімальні детекції та контрольні панелі «coverage vs. fidelity».

Політика алертингу та пріоритизація

Severity:
  • P1 (Critical): активний C2, успішний АТО/викрадення токенів, шифрування, ексфільтрація платіжних/PII.
  • P2 (High): впровадження в інфраструктуру/хмару, ескалації привілеїв, обхід MFA.
  • P3 (Medium): підозріла аномалія, повторні невдалі спроби, рідкісна поведінка.
  • P4 (Low): шум, гіпотези, TI-збіги без підтвердження.
  • Ескалації: P1 - негайно on-call (24 × 7), P2 - в робочий час ≤ 1 год, решта - через черги.
  • Зведення дублікатів: агрегуйте алерти по об'єктах/сесіях, щоб уникати «шторму».

SLI/SLO/SLA SOC

SLI: час виявлення (MTTD), час підтвердження (MTTA), час до containment (MTTC), частка хибнопозитивних (FP) і пропущених (FN) на кластерах сценаріїв.

SLO (приклади):
  • MTTD P1 ≤ 5 хв; MTTC P1 ≤ 30 хв.
  • FP-rate за high-severity правилами ≤ 2 %/добу.
  • Покриття ключових ATT&CK технік ≥ 90% (наявність хоча б однієї детекції).
  • SLA (зовнішні): узгодьте з бізнесом (наприклад, P1 повідомлення власників ≤ 15 хв).

Правила детекції: сигнатури, евристика, поведінка

Sigma (приклад: підозрілий доступ до адмінки поза країною)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (приклад: сплеск невдалих логінів + різні акаунти з одного IP)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

Додаток (SQL, доступ до PII поза графіком)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA та контекст

Профілі базової активності за користувачами/ролями/сервісами (годинник, ASN, пристрої).
Аномалії: рідкісні IP/ASN, новий девайс, незвичайні послідовності API, різка зміна часу активності.
Risk score події = сигнали (TI, аномалія, чутливість ресурсу) × ваги.

SOAR та автоматизація відповідей

Збагачення: TI-репутація IP/домену/хешу, CMDB (хто власник хоста/сервісу), HR (статус співробітника), IAM-роль.
Дії: ізоляція хоста (EDR), блокування IP/ASN/JA3, тимчасовий відгук токенів/сеансів, примусова ротація секретів, заборона виведення коштів/заморожування бонусів.
Гвард-рейли: для критичних дій - двофакторний апрув; TTL на блокуваннях.

Процеси SOC

1. Тріаж: перевірка контексту, дедуплікація, звірка з TI, первинна класифікація за ATT&CK.
2. Розслідування: збір артефактів (PCAP/EDR/логи), гіпотези, таймлайн, оцінка збитку.
3. Containment/Eradication: ізоляція, відкликання ключів/токенів, патчинг, блокування.
4. Відновлення: контроль чистоти, ротації, моніторинг повторення.
5. RCA/Уроки: пост-інцидент, оновлення правил/дашбордів, додавання тест-кейсів.

Тюнінг і якість детекцій

Shadow-режим для нових правил: рахувати, але не блокувати.
Regression pack: бібліотека «хороших/поганих» подій для CI тестів правил.
FP-ремедіація: виключення за шляхами/ролями/ASN; правило «зле за замовчуванням» - тільки після канарок.
Drift-моніторинг: зміна базової активності → адаптація порогів/моделей.

Дашборди та огляди

Оперативні: активні алерти, P1/P2, карта атак (гео/ASN), «top talkers», стрічка TI-збігів.
Тактичні: ATT & CK-покриття, тренди FP/FN, MTTD/MTTC, «шумлячі» джерела.
Бізнес: інциденти по продуктах/регіонах, вплив на KPI (конверсія, Time-to-Wallet, відмов виплат).

Зберігання, приватність і комплаєнс

Ретеншн: мінімум 90 днів «теплих» логів, ≥ 1 року архів там, де потрібно (фінтех/регулятори).
PII/секрети: токенізація/маскування, доступ за ролями, шифрування.
Юридичні вимоги: звітність по інцидентах, зберігання ланцюжків прийняття рішень, несуперечливість годинників (NTP).

Purple Team і перевірка покриття

Threat hunting: гіпотези по TTP (напр., T1059 PowerShell), ad-hoc запити в SIEM.
Purple Team: спільні спринти Red + Blue - запуск TTP, перевірка тригерів, доопрацювання правил.
Автотести детектів: періодичний re-play еталонних подій (atomic tests) в non-prod і «тіньовому» prod.

Специфіка iGaming/фінтех

Критичні домени: логін/реєстрація, депозити/висновки, промо, доступ до PII/фін. Звіти.
Сценарії: ATO/credential stuffing, card testing, бонус-аб'юз, інсайдерський доступ до виплат.
Правила: velocity на '/login', '/withdraw', ідемпотентність і HMAC вебхуків, мTLS до PSP, детекції на доступ до таблиць з PAN/PII.
Тригери бізнесу: різке зростання відмов платежів/chargeback, аномалії в конверсіях, сплески «нульових» депозитів.

Приклади runbook-ів (скорочено)

P1: Підтверджений ATO і виведення коштів

1. SOAR блокує сесію, відкликає refresh-токени, заморожує висновки (TTL 24 год).
2. Повідомити власника продукту/фінансів; запустити password reset/2FA-rebind.
3. Перевірити сусідні акаунти по device/IP/ASN графу; розширити блок по кластерах.
4. RCA: додати детекції повторів, посилити velocity-поріг на '/withdraw'.

P2: Екзекюшн на сервері (T1059)

1. Ізоляція EDR, зняття пам'яті/артефактів.
2. Інвентар останніх деплоїв/секретів; Ротація ключів.
3. IOC-полювання по фліту; перевірка C2 в DNS/Proxy.
4. Пост-інцидент: Rule «Parent=nginx → bash» + Sigma для Sysmon/Linux-audit.

Часті помилки

Перевантаження SIEM шумом без нормалізації і TTL.
Детекції без маппінгу на ATT&CK → «сліпі зони».
Немає SOAR/збагачення - довгий MTTA, ручні рутини.
Ігнор UEBA/поведінки - пропуск «повільних» інсайдерів.
Жорсткі глобальні TI-блоки без TTL → ріжуть бізнес-трафік.
Відсутність регресійних тестів правил.

Дорожня карта впровадження

1. Інвентаризація логів і нормалізація (ECS/CEF), «мінімальний набір».
2. ATT & CK-матриця покриття і базові детекції high-risk.
3. SLO і черги: P1-P4, on-call і ескалації.
4. SOAR-плейбуки: збагачення, containment-дії, TTL-блоки.
5. UEBA і ризик-скоринг: профілі, аномалії, дрейф-моніторинг.
6. Purple Team/тести детектів: shadow-режим, канарки, regression pack.
7. Звітність та комплаєнс: ретеншн, приватність, бізнес-дашборди.

Підсумок

Зрілий SOC - це повна телеметрія + якісні детекції + дисципліна реагування. Прив'яжіть правила до MITRE ATT&CK, автоматизуйте збагачення і containment в SOAR, вимірюйте результат SLO-показниками, регулярно перевіряйте покриття в Purple Team - і ваш моніторинг буде стійкий до шуму, швидко реагувати на реальні загрози і підтримувати бізнес-метрики.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Telegram
@Gamble_GC
Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.