Создание правил SIEM с использованием категорийных моделей
В статье рассказываю о возможности применения концепции категорийных моделей для выявления аномалий в действиях пользователей при помощи SIEM. Модели позволяют описать и использовать профиль типичной активности пользователей и других сущностей. У себя используем их для выявления кражи учетных...
«Поймай меня, если сможешь», или как мы расставляем ловушки для хакеров
Всем привет! Меня зовут Юлия Айдарова, я старший аналитик информационной безопасности группы внутреннего мониторинга Innostage. В этой статье хочу вас погрузить в мир Xello Deception: расскажу, что это, с чем его едят, нюансы при настраивании и с радостью поделюсь своим опытом по внедрению и работе...
Метрики качества динамических плейбуков
При создании динамических планов реагирования должны быть сформулированы и учитываться критерии, которые будут подтверждать качество разработанного алгоритма действий для решения конкретного типа инцидента информационной безопасности. Критерии формулируются на основе основных параметров инцидента,...
Что знать и уметь, чтобы стать участником Всероссийской студенческой кибербитвы?
Всероссийская студенческая кибербитва (для своих ВСКБ) — это крутое киберсоревнование, которое мы проводим для студентов направлений информационная безопасность. Всё почти как у взрослых: киберполигон на базе корпорации N, на котором команды атакующих реализуют киберугрозы, а защитники мониторят...
ML-алгоритмы против хакеров: как поведенческая аналитика меняет правила игры в кибербезопасности
Здравствуйте, друзья! Меня зовут Алексей Потапов, и я представляю экспертный центр безопасности Positive Technologies. Ранее мы уже знакомили вас с ключевыми элементами нашего подхода к обнаружению атак на примере технологий в SIEM: механизме построения цепочек запускаемых процессов на основе...
Soft skills для SOC или Как обучить технарей говорить с клиентом на одном языке
Ситуация — прямо здесь и сейчас вирус-шифровальщик распространяется по корпоративной сети. Как достучаться до ЛПР (лица, принимающего решения)? Особенно, если он не специалист в ИТ или ИБ? Как не вогнать его в панику и объяснить правильный порядок действий, прежде чем станет поздно? При работе с...
Как измерить то, чего не видно: метрики SOC
Привет! Меня зовут Маша, и я являюсь руководителем первой линии Security Operation Center в Ozon. Наша первая линия постоянно выращивает стажёров и растёт. О стажёрах можно прочитать в статье моего руководителя. Но помимо стажёров, растёт и число обязанностей первой линии, которые необходимо...
Играем в защите будущего: как мы обеспечивали безопасность первого международного фиджитал-турнира
С 21 февраля по 3 марта в Казани проходил первый международный фиджитал-турнир «Игры будущего». Зрелищные соревнования на стыке традиционного и цифрового спорта, инновационные дисциплины, более 2000 участников со всего мира — турнир стал по-настоящему уникальным событием. Мероприятие ожидаемо...
Путь самурая SOC: создаем надежный workflow инцидента
Путь к идеальному workflow для обработки инцидентов напоминает путь самурая — это история непрерывного самосовершенствования. Привет! Меня зовут Кирилл Рупасов, я руковожу группой инженеров SOC (Security Operations Center) в «К2 Кибербезопасность». В этом посте я поделился нашим опытом организации...
Как сделать персональные отчеты о действиях пользователей в SIEM
Рассказываю об опыте и методологии создания персональных отчетов о действиях сотрудников по событиям из SIEM. У нас они используются для выявления потенциальных захватов учетных записей злоумышленниками при распространении их по корпоративной сети организации (lateral movement). Читать далее...
Внутренняя кухня Security Operations Center: рецепт контента
Привет, Хабр! Меня зовут Кирилл Рупасов. Я руковожу группой инженеров SOC (Security Operations Center) в «К2 Кибербезопасность». Я не понаслышке знаю, как порой непросто создавать контент для Центра мониторинга кибербезопасности. Написать одно правило обычно несложно, а вот разработать их связанный...
Что, если не Слизерин? Или как можно стать мракоборцем в мире маглов?
Все мы в своё время ждали письмо из Хогвартса, но прошли годы, а сова так и не прилетела. Однако, что, если я скажу, что профессию мракоборца можно освоить в мире виртуальном? Защита от тёмных искусств, охрана правопорядка, необходимость знать противника изнутри… Да это же всё напрямую относится к...
Аналитик SOC: про скилы, карьерный рост и… медведей
Всем привет! Меня зовут Иван Дьячков, я руководитель центра мониторинга информационной безопасности в Wildberries и сегодня хочу рассказать о профессии аналитика SOC, поделиться своим опытом развития. Карьерный путь я начинал с классического сисадмина, а в направлении SOC поработал как со стороны...
Стажировки в SOC. Часть 2: как создать идеальную программу обучения
Привет! В первой части мы узнали, как выглядит организационная часть стажировки. В этой статье мы разберем основные подходы в составлении программ обучения, роудмапов и самих обучающих материалов. Читать далее...
Стажировки в SOC. Часть 1: как организовать обучение на 1 тыс. человек
Пока в ИБ-отрасли говорят об дефиците готовых специалистов, мы в ГК «Солар» выявили действенный рецепт подготовки кадров, благодаря которому значительно увеличили число сотрудников нашей команды – и решили этим рецептом поделиться. Наш цикл статей будет состоять из нескольких частей. В этой мы...
Как меняются методы расследования на Standoff: кейс аналитика PT Expert Security Center
Всем привет! Меня зовут Юлия Фомина, в Positive Technologies я занимаюсь проактивным поиском и обнаружением угроз, что в профессиональной среде называется threat hunting. И все эти знания наша команда превращает в экспертизу продуктов Positive Technologies. И конечно же, мы не только обогащаем наши...
Lessons Learned: почему никогда не стыдно взять и всё переделать
Эта история будет несколько личной - с одной из предыдущих команд, в которой я когда-то была просто инженером, много лет назад мы начинали строить SOC для заказчиков, не сильно-то и понимая, как это делать правильно. В ход шло все - международные стандарты, здравый смысл и желание «сделать хорошо»....
Респонс по да Винчи: как мы перевернули систему работы security-аналитика и что из этого вышло
Как обычно происходит стандартное реагирование в SOC? Получил аналитик оповещение об инциденте от какой-то системы безопасности, посмотрел логи SIEM, чтобы собрать дополнительные данные, уведомил заказчика и составил для него короткий отчет о произошедшем. А что дальше? А дальше — переключился на...