8.4.4 Покупка SIEM SIEM – одно из самых крупных вложений для SOC. Прежде чем рассматривать вопрос о покупке SIEM, необходимо, чтобы сложились следующие основные условия: У SOC уже есть инструменты сбора логов; его потребности в аналитике и корреляции данных больше, чем предлагают текущие инструменты. SOC выполняет значительную часть своих обязанностей по анализу данных в реальном […]
Инструменты SIEM собирают, агрегируют, фильтруют, хранят, сортируют, сопоставляют и отображают данные, относящиеся к безопасности, как для изучения в режиме реального времени, так и для анализа данных за прошлые периоды. Процесс обработки в SIEM нацелен на использование в различных моделях SOC, начиная от ситуативных команд безопасности до гибридных централизованных/распределенных моделей. Лучшие в своем классе SIEM приумножают […]
Мониторинг и реагирование на хостах заказчика – незаменимый инструмент при условии эффективного использования. Есть ряд моментов, которые важно учитывать при рассмотрении вопроса о развертывании и использовании различных хостовых инструментов, о которых шла речь в разделе 8.3. Для достижения наилучших результатов стоит учесть следующее: Мониторинг и защита на базе хоста – не панацея Некоторые SOC для […]
8.3 Мониторинг и защита узлов У сетевых датчиков множество достоинств – один датчик может дать информацию о ситуации и сообщить о потенциальных инцидентах в тысячах систем. Но они дают информацию только на уровне сетевого трафика. Чтобы расширить обзор и охват, полезно оборудовать конечные узлы различными инструментами обнаружения и блокировки. Данные, предполагающие, подтверждающие и уточняющие присутствие […]
8.2.3 Данные NetFlow IDS просматривает весь контент сетевого трафика, однако нужна возможность просуммировать весь сетевой трафик, не оказывая большого воздействия на производительность. Дополнением к оповещениям IDS служат записи NetFlow (часто упоминаются как потоки). В отличие от записи или анализа всего содержимого соединений, запись потока содержит краткий обзор каждого сетевого соединения. Исходно стандарт NetFlow был разработан […]
8.2 Мониторинг сетей В большинстве SOC система обнаружения инцидентов и сбора данных по ним опирается на набор сетевых сенсоров, размещенных в инфраструктуре заказчика. Для осуществления качественного сетевого мониторинга аналитику необходимы три элемента: Начальное срабатывание сигнатурной или поведенческой системы обнаружения вторжений (СОВ, IDS). Сюда же входит возможность использования пользовательских сигнатур и доступ к полному описанию той […]
Первые SOC, появившиеся в 1990-х, работали с относительно небольшим количеством не очень сложных инструментов, в основном это были сетевые и хостовые IDS. Со временем рынок средств защиты сильно расширился так же, как и тактика, техника и процедуры (TTP) противника, его ресурсы и мотивация. Сегодня SOC должен использовать широкий спектр возможностей для выполнения своей миссии, что […]
Поиск и удержание талантов – одна из самых больших проблем, с которыми сталкивается руководство SOC. В операционной среде текучка кадров – это жизненное обстоятельство. Удержать талантливых аналитиков особенно сложно, потому что работа в киберсреде хорошо оплачивается, а талантливых специалистов всегда не хватает. Сотрудники SOC приводят множество причин, по которым им хочется оставаться на текущем месте […]
Это один из наиболее частых вопросов, который возникает при создании SOC как у руководства, так и у новичков в области обеспечения безопасности сетей. К сожалению, на него очень трудно ответить, поскольку в процессе возникает много сложностей. В этом разделе рассмотрим факторы, которые влияют на штатное расписание SOC, а на примере моделей крупных SOC из разделов […]
Люди – наиболее важный аспект в вопросе защиты сетей. Эта избитая фраза встречается практически во всех областях бизнеса, но это так. Имеющиеся бюджеты ограничены, а SOC приходится конкурировать между собой за узкий набор талантливых специалистов, поэтому обеспечение SOC персоналом становится непростой задачей. Используя правильные инструменты, один хороший аналитик может выполнить работу 100 посредственных. В результате справедливо […]