Привет! На связи руководитель экспертизы MaxPatrol SIEM Кирилл Кирьянов и старший специалист группы обнаружения APT-атак Сергей Щербаков. В одной из прошлых статей нашего цикла мы говорили про нормализацию и обогащение как первые шаги в работе с любым событием в SIEM-системе. Сегодня зайдем чуть дальше и рассмотрим следующий этап жизненного пути инцидента — работу правил корреляции.
Разберемся, что такое экспертиза, какие у нее бывают источники, как появляются новые правила корреляции и как их проверяют перед развертыванием. Подробнее взглянем на все этапы создания контента, поговорим о его обновлении и интеграции с другими продуктами киберзащиты.
Заглянем под капот нашей SIEM?Источник: Хабрахабр
Источник: ptsecurity (Positive Technologies)
Другие материалы на сайте b.Z - Записки о гаджетах, людях и музыке