Categories: 10 стратегий первоклассного SOC

Стратегия 6. Часть 7. Покупка и ожидания от SIEM. Рекомендации при внедрении.

Раздел: Blog

8.4.4 Покупка SIEM SIEM – одно из самых крупных вложений для SOC. Прежде чем рассматривать вопрос о покупке SIEM, необходимо, чтобы сложились следующие основные условия: У SOC уже есть инструменты сбора логов; его потребности в аналитике и корреляции данных больше, чем предлагают текущие инструменты. SOC выполняет значительную часть своих обязанностей по анализу данных в реальном […]

Стратегия 6. Часть 6. Управление информацией и событиями безопасности (SIEM) и Log Management

Раздел: Blog

Инструменты SIEM собирают, агрегируют, фильтруют, хранят, сортируют, сопоставляют и отображают данные, относящиеся к безопасности, как для изучения в режиме реального времени, так и для анализа данных за прошлые периоды. Процесс обработки в SIEM нацелен на использование в различных моделях SOC, начиная от ситуативных команд безопасности до гибридных централизованных/распределенных моделей. Лучшие в своем классе SIEM приумножают […]

Стратегия 6. Часть 5. Мониторинг и защита узлов. Практика и рекомендации

Раздел: Blog

Мониторинг и реагирование на хостах заказчика – незаменимый инструмент при условии эффективного использования. Есть ряд моментов, которые важно учитывать при рассмотрении вопроса о развертывании и использовании различных хостовых инструментов, о которых шла речь в разделе 8.3. Для достижения наилучших результатов стоит учесть следующее: Мониторинг и защита на базе хоста – не панацея Некоторые SOC для […]

Стратегия 6. Часть 4. Мониторинг и защита узлов

Раздел: Blog

8.3 Мониторинг и защита узлов У сетевых датчиков множество достоинств – один датчик может дать информацию о ситуации и сообщить о потенциальных инцидентах в тысячах систем. Но они дают информацию только на уровне сетевого трафика. Чтобы расширить обзор и охват, полезно оборудовать конечные узлы различными инструментами обнаружения и блокировки. Данные, предполагающие, подтверждающие и уточняющие присутствие […]

Стратегия 6. Часть 3. Анализ трафика, данные и метаданные.

Раздел: Blog

8.2.3 Данные NetFlow IDS просматривает весь контент сетевого трафика, однако нужна возможность просуммировать весь сетевой трафик, не оказывая большого воздействия на производительность. Дополнением к оповещениям IDS служат записи NetFlow (часто упоминаются как потоки). В отличие от записи или анализа всего содержимого соединений, запись потока содержит краткий обзор каждого сетевого соединения. Исходно стандарт NetFlow был разработан […]

Стратегия 6. Часть 2. Мониторинг сетей

Раздел: Blog

8.2 Мониторинг сетей В большинстве SOC система обнаружения инцидентов и сбора данных по ним опирается на набор сетевых сенсоров, размещенных в инфраструктуре заказчика. Для осуществления качественного сетевого мониторинга аналитику необходимы три элемента: Начальное срабатывание сигнатурной или поведенческой системы обнаружения вторжений (СОВ, IDS). Сюда же входит возможность использования пользовательских сигнатур и доступ к полному описанию той […]

Стратегия 6. Часть 1: Максимизировать пользу от закупленных технологий

Раздел: Blog

Первые SOC, появившиеся в 1990-х, работали с относительно небольшим количеством не очень сложных инструментов, в основном это были сетевые и хостовые IDS. Со временем рынок средств защиты сильно расширился так же, как и тактика, техника и процедуры (TTP) противника, его ресурсы и мотивация. Сегодня SOC должен использовать широкий спектр возможностей для выполнения своей миссии, что […]

Стратегия 5, Часть 3: Как минимизировать текучку кадров в SOC

Раздел: Blog

Поиск и удержание талантов – одна из самых больших проблем, с которыми сталкивается руководство SOC. В операционной среде текучка кадров – это жизненное обстоятельство. Удержать талантливых аналитиков особенно сложно, потому что работа в киберсреде хорошо оплачивается, а талантливых специалистов всегда не хватает. Сотрудники SOC приводят множество причин, по которым им хочется оставаться на текущем месте […]

Стратегия 5 Часть 2: Сколько нужно аналитиков?

Раздел: Blog

Это один из наиболее частых вопросов, который возникает при создании SOC как у руководства, так и у новичков в области обеспечения безопасности сетей. К сожалению, на него очень трудно ответить, поскольку в процессе возникает много сложностей. В этом разделе рассмотрим факторы, которые влияют на штатное расписание SOC, а на примере моделей крупных SOC из разделов […]

Стратегия 5: Отдавать предпочтение качеству персонала, а не его количеству. Часть 1: Кого нанимать?

Раздел: Blog

Люди – наиболее важный аспект в вопросе защиты сетей. Эта избитая фраза встречается практически во всех областях бизнеса, но это так. Имеющиеся бюджеты ограничены, а SOC приходится конкурировать между собой за узкий набор талантливых специалистов, поэтому обеспечение SOC персоналом становится непростой задачей. Используя правильные инструменты, один хороший аналитик может выполнить работу 100 посредственных. В результате справедливо […]