Какой российский SIEM выбрать для КИИ? Разбираем наших игроков без галстуков и маркетинга
Выбираете SIEM для КИИ? По закону нужен наш софт. Разбираем трех российских гигантов: RuSIEM, MaxPatrol SIEM и Security Vision. Честный обзор без маркетинга, который поможет понять, кто из них подходит именно вашей команде. Читать далее...
Настройка кастомного декодера для PostgreSQL и редактирование декодера auditd в Wazuh
Wazuh — мощная платформа для мониторинга безопасности, которая позволяет анализировать логи систем и приложений. В этой статье мы разберём, как создать кастомный декодер для логов PostgreSQL, чтобы отслеживать подключения, запросы и ошибки базы данных, а также как улучшить дефолтный декодер auditd...
Detection as code: как мы в VK SOC превращали правила в код
Долгие годы вендоры работали над тем, чтобы сделать UI в SIEM удобным, эффективным и простыми для аналитиков SOC, а теперь аналитики хотят код, git, vim. Упс. Привет! Меня зовут Павел Таратынов, я лид аналитиков L3 в VK SOC, и в этой статье я расскажу, почему и зачем мы перешли на Detection as...
Создание алертов в Wazuh: настройка декодеров для обнаружения угроз (Часть 1)
Привет, защитники! 🚨 На канале Pensecfort я начал цикл про создание алертов в Wazuh, и в этой статье, мы разберём декодеры — ключевой компонент для обработки логов. Вы узнаете, как они работают, какие поля использовать и как выбрать правильный для логов. Это подробное руководство для тех, кто хочет...
Сбор событий Linux: есть цель – ищем путь
Приветствую всех, кто заглянул на огонек! Меня зовут Роман, и я занимаюсь исследованием безопасности Linux (и всякого другого, связанного с ним) в экспертном центре безопасности в Positive Technologies. Мне периодически приходится сталкиваться с вопросами клиентов или коллег из смежных отделов по...
Интеграция KSC с SIEM на практике
В текущих реалиях постоянно растущих киберугроз для ИТ-ландшафтов организаций очень важно иметь совокупною "картину" по событиям, происходящим внутри управляемой инфраструктуры. И так как недавно я получил статус Kaspersky Certified Systems Engineer - пришло время рассмотреть на практике один из...
Оборотные штрафы на практике: сколько заплатят компании и инсайдеры за утечку ПДн
Совсем скоро произойдут глобальные изменения в сфере защиты данных: 30 мая вступят в силу оборотные штрафы за утечку персональных данных. В случае первого инцидента компания заплатит от 3 млн до 20 млн руб., при повторном – от 20 млн до 500 млн руб., или 1-3% от оборота. Но как закон будет работать...
Киберучения с поведенческим анализом: результаты работы MaxPatrol BAD (Behavioral Anomaly Detection)
Использование разрабатываемых решений для безопасности в условиях, максимально приближенных к реальным, — лучший способ проверить их эффективность. Я уже рассказывал про модуль MaxPatrol BAD (Behavioral Anomaly Detection). Он работает как система second opinion — собирает данные о событиях и...
Эффективное управление контентом SOC: рассказываем про SDL Content Manager
Cтатья будет полезна для тех, кто работает в центре кибербезопасности (Security Operation Center, SOC) или планирует его построить. Я расскажу о том, как мы решили нетривиальные задачи контент-менеджмента и какие технологии для этого применялись. Читать далее...
Обычная практика Threat Hunting и причем тут пирамида боли
Привет Хабр! Меня зовут Иван Костыря, и я работаю в команде VK SOC, а точнее — в группе реагирования, куда стекаются все подозрения на инциденты информационной безопасности в компании. Сегодня хочу рассказать немного о том, как мы ищем угрозы в периметре компании, какие средства и техники для этого...
«Волки надели кольца» — разбор способа доставки бэкдора RingSpy и варианты его детектирования
Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я расскажу про вредоносное ПО RingSpy, которое использует группировка Mysterious Werewolf. В этой статье мы подробно разберём один из способов его установки на компьютер жертвы....
Молчаливый Wazuh — тюнинг, минимизация событий, уведомления в Telegram
Недавно добрался наконец то до изучения Wazuh - чтобы была польза от процесса познания, поставил для теста на небольшой больнице и определил задачи, которые он должен решать: Читать далее...
Зачем нужны метрики работы с инцидентами в Security Operations Center: объясняем на примере из «Властелина колец»
Одной из важных и сложных задач, решаемых центром кибербезопасности (Security Operations Center, SOC), является оценка последствий киберинцидентов (уже наступивших или тех, которые вот-вот наступят). Это позволяет присваивать инциденту приоритет и реагировать в соответствии с ним. Но куда труднее...
Экспертиза под микроскопом [Оголяемся технологически. MaxPatrol SIEM]
Привет! На связи руководитель экспертизы MaxPatrol SIEM Кирилл Кирьянов и старший специалист группы обнаружения APT-атак Сергей Щербаков. В одной из прошлых статей нашего цикла мы говорили про нормализацию и обогащение как первые шаги в работе с любым событием в SIEM-системе. Сегодня зайдем чуть...
VSCode — идеальный инструмент для хакера
Привет, Хабр! В прошлой статье мы уже разобрали устройство редактора кода VSCode и его особенности. Сегодня хочу рассказать про еще одну уязвимость в расширении, связанном с GitHub, рассмотреть функцию «туннелирование» в VSCode и варианты использования ее атакующими. После посмотрим, что можно...
Переход с одной SIEM-системы на другую: пошаговая инструкция
Всем привет! Меня зовут Геннадий Мухамедзянов, в ИТ я более 20 лет, половину из них ― в кибербезопасности. У меня богатый опыт работы в центрах мониторинга ИБ, где я занимался установкой и настройкой различных СЗИ, в том числе систем класса SIEM. Импортозамещение в области кибербезопасности у всех...
Применение SIEM для расследования инцидентов
Выявление инцидентов является одной из основных задач специалистов по информационной безопасности. Обнаруживать инциденты можно различными способами. Например, можно вручную анализировать журналы событий в поисках интересующих сообщений о подозрительных активностях. Можно на основе grep и...
Linux, LogSpace, ML: как SIEM обретал новую технологичность
Помните, когда-то мы раскрыли неочевидную связь между гастритом… и системой выявления инцидентов? За это время MaxPatrol SIEM обновился 17 раз (не считая хотфиксов), перешагнул отметку в 650 инсталляций, включая географически распределенные, и приобрел множество новых фич. Я, Иван Прохоров, отвечаю...
Назад