Must have для SOC: как выбрать сценарный подход к выявлению угроз
Для запуска корпоративного SOC или ситуационного центра управления ИБ мало внедрить систему мониторинга (SIEM). Помимо этого, нужно предусмотреть кучу всего, что понадобится команде SOC в работе. Методики детектирования, правила корреляции, наработки по реагированию — всё это должно укладываться в единый подход к выявлению инцидентов. Без этих вещей рано или поздно в команде будут возникать рядовые вопросы на уровне, что и как работает, кто за что отвечает, какие есть белые пятна и куда развиваться, как показать результат работы и развития.
Я решил поделиться тем, как мы с командой Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT сами формировали такой сценарный подход и как используем его на практике для защиты наших клиентов. Сегодня расскажу, что мы взяли за основу, как решали сложности и к чему в итоге пришли. Забегая вперед, отмечу, что наш подход не следует воспринимать как абсолютную истину. В случае с корпоративным SOC он может быть в каких-то местах полезным, а в каких-то избыточным.
Источник: Хабрахабр
Похожие новости
- Шухрат Мамасыдыков: Как попасть в рекомендации ChatGPT и продвигать бренд без рекламы
- МТС Твой бизнес: Аналитика МТС AdTech и МТС Банка: альфа впервые обошли зумеров по количеству покупок на маркетплейсах
- SMM 4.0: как работать в новых правилах игры
- Как мы повышали доверие к YandexGPT, или Сертификация по ISO 42001
- Spark_news: Perplexity AI предложила Google приобрести Chrome за 34,5 млрд. долларов
- Q2.team: Тёмная сторона UX: как «красивый» дизайн убил нашу конверсию
- Как RDP-порт 47001 выдаёт ботов: технический разбор на фоне политических мемов
- Портативный взлом: как игровая приставка может стать оружием хакера
- Редакция Spark.ru: Всемирная история торговли в стиле Сатирикона: часть 14. «Русская Аляска»
- Под другим углом: 3 сентября в Москве состоится Hybrid Conf'25