WAF: интеграция в SOC через SIEM или ASOC? (Часть 2)
Преимущества интеграции SOC и WAF для мониторинга API Здесь бы хотелось рассказать, как быть с событиями которые показывают аномалии в API и как использовать эти события при интеграции с SIEM-системами. Тут мы с Сергеем попробовали разобрать наиболее частые вариации. Но если у вас есть свои примеры...
Как выжать из SOC все соки? Готовимся к подключению внешнего Центра мониторинга инцидентов
Всем привет! Меня зовут Анастасия Федорова. Уже более 15 лет я работаю в сфере ИБ, последние два года — директором по развитию Центра мониторинга инцидентов в К2 Кибербезопасность. Этим летом мы провели опрос 100+ средних и крупных компаний и узнали, что почти половине (43%) из них уже недостаточно...
Pupy Rat — возможности Open Source трояна
Привет, Хабр! Меня зовут Борис Нестеров, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я хочу рассказать о трояне Pupy Rat, и его модификациях Decoy Dog. Pupy Rat распространяется с помощью социальной инженерии или доставляется в инфраструктуру после компрометации...
Внешний, гибрид или инхаус. Выбираем SOC по ингредиентам
Привет, Хабр! На связи Анастасия Федорова. За моими плечами 15 лет в ИБ, из них последние два года я руковожу развитием SOC в К2 Кибербезопасность. Недавно мы опросили 100+ ИТ- и ИБ-директоров среднего и крупного бизнеса и выяснили, что 1/3 компаний за последний год столкнулись сразу с несколькими...
SOAR и PTaS пришел конец? Обзор SecOps прогноза Gartner 2024
Хабр, насколько вы верите в гадания и судьбу? А может кармические циклы жизни? Попытка предугадать будущее всегда тешила и успокаивала душу человека. Так вот сфера инфобеза не стала исключением, однако, вместо карт таро и кофейной гущи специалисты каждый год собирают и анализируют изменения в...
SOAR и PTaS пришел конец?
Хабр, насколько вы верите в гадания и судьбу? А может кармические циклы жизни? Попытка предугадать будущее всегда тешила и успокаивала душу человека. Так вот сфера инфобеза не стала исключением, однако, вместо карт таро и кофейной гущи специалисты каждый год собирают и анализируют изменения в...
Активоцентричность и хранение данных [Оголяемся технологически. MaxPatrol SIEM]
Привет! Меня зовут Иван Прохоров, я руководитель продукта MaxPatrol SIEM. Мы продолжаем наше технологическое погружение в наш SIEM и сегодня расскажем об активоцентричности и хранении данных. А помогать мне в этом будет мой коллега, архитектор продукта MaхPatrol SIEM, Роман Сергеев. В прошлой...
Создание правил SIEM с использованием категорийных моделей
В статье рассказываю о возможности применения концепции категорийных моделей для выявления аномалий в действиях пользователей при помощи SIEM. Модели позволяют описать и использовать профиль типичной активности пользователей и других сущностей. У себя используем их для выявления кражи учетных...
Эволюция потребностей в работе с логами и обогащениями [Оголяемся технологически. MaxPatrol SIEM]
Всем привет! Эволюция потребностей и возможностей обработки логов в SIEM-системах не стоит на месте. И сегодня мы, Иван Прохоров, руководитель продукта MaxPatrol SIEM, и Петр Ковчунов, который пишет экспертизу для этого продукта, разберем наш ответ этому челленджу. Когда мы проектировали свой...
Уязвимость VSCode и «объективный» взгляд на Git
Привет, Хабр! Меня зовут Владислав Кормишкин, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я хотел бы рассказать вам об одном из самых популярных редакторов кода — VSCode, и о том, как злоумышленники могут использовать его в своих целях. На сегодняшний день известно...
Как работают системы ИБ: обзор для начинающих безопасников
Подготовили обзор пяти основных систем ИБ — WAF, NGFW, IAM, SIEM, DLP для специалистов, которые планируют начать карьеру в сфере безопасности. Разбираем «на пальцах» основные компоненты и принципы их работы. Составить обзор помог Даниил Козин, старший специалист по информационной безопасности...
Препарируем Wazuh: активно противодействуем угрозам
Системы класса SIEM традиционно используются для сбора событий ИБ с источников и выявления подозрительных активностей в этих событиях. Однако, системы SIEM можно также использовать в качестве ядра для комплекса автоматического реагирования на выявленные угрозы. По сути, мы получаем некий аналог...
Правила в SIEM — легко. Среда для эффективной разработки контента SIEM
Привет, Хабр! Меня зовут Ксения Змичеровская, я системный аналитик в компании R-Vision. Совсем недавно мы выпустили собственный плагин R-Object для работы с R-Vision SIEM. Наш плагин – это полноценная среда разработки с преднастроенными шаблонами объектов, подсветкой синтаксиса, подсказками и...
Как сделать персональные отчеты о действиях пользователей в SIEM
Рассказываю об опыте и методологии создания персональных отчетов о действиях сотрудников по событиям из SIEM. У нас они используются для выявления потенциальных захватов учетных записей злоумышленниками при распространении их по корпоративной сети организации (lateral movement). Читать далее...
Внутренняя кухня Security Operations Center: рецепт контента
Привет, Хабр! Меня зовут Кирилл Рупасов. Я руковожу группой инженеров SOC (Security Operations Center) в «К2 Кибербезопасность». Я не понаслышке знаю, как порой непросто создавать контент для Центра мониторинга кибербезопасности. Написать одно правило обычно несложно, а вот разработать их связанный...
Препарируем Wazuh. Часть 4: правила корреляции
В этой статье мы продолжим рассматривать вопросы, связанные с настройкой Wazuh. В частности, рассмотрим работу с правилами корреляции. Но для начала поговорим о том, зачем вообще нужны эти правила и как лучше их использовать для обеспечения информационной безопасности. Читать далее...
Что используют в работе «белые хакеры»: инструменты для кибербезопасности и проведения пентестов
В арсенале специалистов по информационной безопасности и пентесту есть много инструментов и методов для защиты безопасности информационных систем и сетей. Рассказываем о популярных. Читать далее...
Про будни инженера поддержки сложных решений для защиты ИТ-инфраструктуры
Всем привет! Мы (Олег Герцев и Лиля Кондратьева) работаем в сервисном центре Positive Technologies и отвечаем за поддержку MaxPatrol SIEM и Maxpatrol VM соответственно. Мы не только обрабатываем более десяти тысяч заявок в год, но и активно развиваем экспертизу клиентов и партнеров: среди наших...