GH GambleHub

SOC tahdidlari va alertlari monitoringi

Qisqacha xulosa

Samarali SOC uchta kitga asoslangan: telemetriyaning to’liqligi, sifatli deteksiya va operatsion intizom (ustuvorlik, eskalatsiya, post-hodisalar va yaxshilanishlar). Maqsad: tajovuzkorlarni xulq-atvor va signatura indikatorlari bo’yicha tezda aniqlash, SLO doirasida harakat qilish va qoplamani yo’qotmasdan yolg’on ishlarni minimallashtirish.

SOC-monitoring arxitekturasi

SIEM - hodisalarni qabul qilish, normallashtirish va korrelyatsiya qilish; dashbordlar, qidiruv, alerting.
UEBA - foydalanuvchilar/xostlarning xulq-atvor tahlili, asosiy profillar va anomaliyalar.
SOAR - harakat qilishni avtomatlashtirish: alertlarni boyitish (TI, CMDB), kontainment harakatlarni orkestrlash.
TI (Threat Intelligence) - IOC/TTP/kritik zaifliklar fidalari; qoidalar va boyitish uchun kontekst.
Ombor - tergov uchun «issiq» 7-30 kun, «sovuq» 90-365 + komplayens/retrospektivlar uchun.

Loglar manbalari (minimal yetarli)

Identifikatsiya va foydalanish:
  • IdP/SSO (OIDC/SAML), MFA, PAM, VPN/ZTNA, kataloglar (AD/AAD).
Oxirgi nuqtalar:
  • EDR/AV, Sysmon/ETW (Windows), auditd/eBPF (Linux), MDM (mobil telefonlar).
Tarmoq va perimetr:
  • Fayrvollar (L3/L7), WAF/WAAP, balanschilar (NGINX/Envoy), DNS, proksi, NetFlow/sFlow/Zeek.
Bulutlar va platformalar:
  • CloudTrail/Activity Logs, KMS/Key Vault, IAM hodisalar, Kubernetes (audit, API server), konteyner xavfsizligi.
Ilovalar va DQ:
  • Ma’murlar auditi, PII/to’lovlardan foydalanish, DDL/huquqlar, tanqidiy biznes voqealar (withdraw, bonus, payout).
Pochta va hamkorlik:
  • Fishing/spam detekt, DLP, URL-tugmalar, ilovalar.

Normallashtirish: yagona format (masalan, ECS/CEF), majburiy maydonlar:’timestamp’,’src/dst ip’,’user’,’action’,’resource’,’result’,’request _ id/trace _ id’.

Tahdidlar taksonomiyasi va ATT & CK-kartalash

MITRE ATT&CK: Initial Access, Execution, Persistence, Privilege Escalation, Defence Evasion, Credential Access, Discovery, Lateral Movement, C2, Colk bo’yicha qoidalar va dashbordlar tuzing lection/Exfiltration/Impact.
Har bir taktika uchun minimal detektsiyalar va «coverage vs. fidelity» nazorat panellari mavjud.

Alerting siyosati va ustuvorlik

Severity:
  • P1 (Critical): aktiv C2, muvaffaqiyatli ATO/tokenlarni o’g’irlash, shifrlash, to’lov/PIIni eksfiltrlash.
  • P2 (High): infratuzilmaga/bulutga joriy etish, imtiyozlarni kuchaytirish, MFAni chetlab o’tish.
  • P3 (Medium): shubhali anomaliya, takroriy muvaffaqiyatsiz urinishlar, kam uchraydigan xatti-harakatlar.
  • P4 (Low): shovqin, gipotezalar, tasdiqlanmagan TI-mos kelishlar.
  • Eskalatsiyalar: P1 - darhol on-call (24 × 7), P2 - ish vaqtida ≤ 1 soat, qolganlari - navbatlar orqali.
  • Dublikat maʼlumoti: «boʻron» dan qochish uchun obʼektlar/sessiyalar boʻyicha alertlarni birlashtirish.

SLI/SLO/SLA SOC

SLI: topish vaqti (MTTD), tasdiqlash vaqti (MTTA), kontainmentgacha vaqt (MTTC), noto’g’ri ijobiy (FP) va o’tkazib yuborilgan (FN) ssenariylar klasterlarida ulushi.

SLO (misollar):
  • MTTD P1 ≤ 5 min; MTTC P1 ≤ 30 min.
  • FP-rate high-severity qoidalari bo’yicha ≤ sutkasiga 2%.
  • Asosiy ATT&CK texnikasini qoplash 90% ≥ (kamida bitta deteksiyaning mavjudligi).
  • SLA (tashqi): biznes bilan kelishing (masalan, P1 egalarining xabarnomasi ≤ 15 daqiqa).

Deteksiya qoidalari: signatura, evristika, xulq-atvor

Sigma (misol: mamlakatdan tashqarida ma’murga shubhali kirish)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (misol: muvaffaqiyatsiz loginlarning ko’payishi + bitta IP’dan turli xil akkauntlar)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

Ilova (SQL, jadvaldan tashqari PIIga kirish)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA va kontekst

Foydalanuvchilar/rollar/servislar bo’yicha bazaviy faollik profillari (soatlar, ASN, qurilmalar).
Anomaliyalar: noyob IP/ASN, yangi qurilma, g’ayrioddiy API ketma-ketligi, faollik vaqtining keskin o’zgarishi.
Risk score hodisalar = signallar (TI, anomaliya, resursning sezgirligi) × og’irlik.

SOAR va javoblarni avtomatlashtirish

Boyitish: IP/domen/xesh, CMDB (xost/servis egasi kim), HR (xodim maqomi), IAM roli.
Harakatlar: xostni izolyatsiya qilish (EDR), IP/ASN/JA3 blokirovka qilish, tokenlarni/seanslarni vaqtincha chaqirib olish, sirlarni majburan almashtirish, mablag’larni olib chiqishni taqiqlash/bonuslarni muzlatish.
Gvard-reylar: tanqidiy harakatlar uchun - ikki faktorli appruv; Qulflash TTL.

SOC jarayonlari

1. Triaj: kontekstni tekshirish, deduplikatsiya, TI bilan solishtirish, ATT&CK bo’yicha boshlang’ich tasniflash.
2. Tekshirish: artefaktlar (PCAP/EDR/loglar), gipotezalar, taymline, zararni baholash.
3. Containment/Eradication: izolyatsiya, kalitlarni/tokenlarni qaytarib olish, patching, blokirovka qilish.
4. Tiklash: tozalik, rotatsiya nazorati, takrorlash monitoringi.
5. RCA/Darslar: post-hodisa, qoidalar/dashbordlarni yangilash, test-keyslarni qo’shish.

Tyuning va deteksiya sifati

Yangi qoidalar uchun shadow rejimi: hisoblash, lekin blokirovka qilish.
Regression pack: CI test qoidalari uchun «yaxshi/yomon» voqealar kutubxonasi.
FP-remediatsiya: yo’llar/rollar/ASN bo’yicha istisnolar; «Default yomon» qoidasi faqat kanareykalardan keyin.
Drift-monitoring: asosiy faollikni o’zgartirish → chegaralar/modellarni moslashtirish.

Dashbordlar va sharhlar

Operativ: faol alertlar, P1/P2, hujumlar xaritasi (geo/ASN), «top talkers», TI tasmalari.
Taktik: ATT&CK qoplamasi, FP/FN, MTTD/MTTC trendlari, «shovqinli» manbalar.
Biznes: mahsulotlar/hududlar bo’yicha noxush hodisalar, KPIga ta’sir (konvertatsiya, Time-to-Wallet, to’lovlarni rad etish).

Saqlash, maxfiylik va komplayens

Retenshn: kamida 90 kun «iliq» loglar, ≥ 1 yil talab qilinadigan arxiv (fintech/regulyatorlar).
PII/sirlar: tokenizatsiya/niqoblash, rollarga kirish, shifrlash.
Yuridik talablar: hodisalar bo’yicha hisobot berish, qarorlar qabul qilish zanjirlarini saqlash, soatlarning ziddiyatsizligi (NTP).

Purple Team va qoplamani tekshirish

Threat hunting: TTP gipotezalari (masalan, T1059 PowerShell), SIEM uchun ad-hoc so’rovlari.
Purple Team: Red + Blue sprinti - TTP ishga tushirish, triggerlarni tekshirish, qoidalarni takomillashtirish.
Detektorlarning avtotestlari: non-prod va «soyali» prod davriy re-play etalon hodisalari (atomic tests).

iGaming/fintech xususiyatlari

Tanqidiy domenlar: login/ro’yxatdan o’tish, depozitlar/xulosalar, promo, PII/finga kirish. hisobotlar.
Ssenariylar: ATO/credential stuffing, card testing, bonus-abyuz, insayder orqali to’lovlardan foydalanish.
Qoidalar: velocity na ’/login’, ’/withdraw’, idempotentlik va HMAC vebxuklari, PSPga mTLS, PAN/PII jadvallariga kirish uchun detektsiyalar.
Biznes triggerlari: to’lovlar/chargeback rad etilishining keskin o’sishi, konversiyadagi anomaliyalar, «nol» depozitlar portlashi.

Runbook namunalari (qisqartirilgan)

P1: Tasdiqlangan ATO va mablag’larni olib qo’yish

1. SOAR sessiyani bloklaydi, refresh-tokenlarni qaytarib oladi, xulosalarni muzlatadi (TTL 24 soat).
2. Mahsulot/moliya egasini xabardor qilish; password reset/2FA-rebind ishga tushirish.
3. Qo’shni hisoblarni device/IP/ASN grafasi bo’yicha tekshirish; klasterlar bo’yicha blokni kengaytirish.
4. RCA: takrorlash detektsiyalarini qoʻshish, velocity chegarasini ’/withdraw’ga kuchaytirish.

P2: Serverda chiqish (T1059)

1. EDR izolyatsiyasi, xotira/artefaktlarni olib tashlash.
2. Oxirgi deploylar/sirlar inventari; kalitlarni rotatsiya qilish.
3. IOC-flit bo’yicha ov; DNS/Proxy’da C2’ni tekshirish.
4. Post-hodisa: Sysmon/Linux-audit uchun Rule «Parent = nginx → bash» + Sigma.

Tez-tez xato

SIEMni normallashtirmasdan shovqin va TTL bilan ortiqcha yuklash.
ATT&CK → da mappingsiz deteksiyalar.
SOAR/boyitish yo’q - uzun MTTA, qo’l tartibi.
Ignor UEBA/xulq-atvor - «sekin» insayderlarni o’tkazish.
TTL’siz global TI bloklari biznes trafikni kesib tashlaydi.
Regression test qoidalarining yo’qligi.

Joriy etish yo’l xaritasi

1. Loglarni xatlovdan o’tkazish va normallashtirish (ECS/CEF), «minimal to’plam».
2. ATT&CK - qoplama matritsasi va bazaviy deteksiyalar high-risk.
3. SLO va navbatlar: P1-P4, on-call va eskalatsiyalar.
4. SOAR-pleybuklar: boyitish, containment-harakatlar, TTL-bloklar.
5. UEBA va risk-skoring: profillar, anomaliyalar, dreyf-monitoring.
6. Purple Team/detektor testlari: shadow-mode, kanareykalar, regression pack.
7. Hisobot va komplayens: retenshn, maxfiylik, biznes-dashbordlar.

Jami

Yetuk SOC - bu to’liq telemetriya + sifatli deteksiya + javob berish intizomi. Qoidalarni MITRE ATT&CK bilan bog’lang, SOARda boyitish va konteynmentni avtomatlashtiring, natijani SLO ko’rsatkichlari bilan o’lchang, Purple Team-da muntazam ravishda qamrovni tekshiring - va sizning kuzatuvingiz shovqinga chidamli bo’ladi, real tahdidlarga tezda javob beradi va biznes metrikalarini qo’llab-quvvatlaydi.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Telegram
@Gamble_GC
Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.