События и паттерны SIEM В этом уроке мы подробно рассмотрим основные события и паттерны, которые система SIEM (Security Information and Event Management) помогает обнаруживать и анализировать. Понимание этих событий критически важно для обеспечения безопасности любой информационной системы. Что такое SIEM и почему это важно? SIEM (Security Information and Event Management), это комплексное решение для сбора, … Читать далее
«Идеальная система обнаружения не та, которая срабатывает на всё, а та, которая понимает, что в вашей сети — нормально. Её молчание не должно означать катастрофу, а сигнал — не должен теряться в ежедневных тысячах событий. Работа сводится к тонкой настройке внимания системы: отсеять рутину, чтобы увидеть угрозу.» Цена шума в мониторинге Система, генерирующая несколько тысяч … Читать далее
"Стандартные логи показывают лишь факт открытия двери, но детализированный аудит рассказывает, кто, когда, с каким инструментом, что именно взял, куда положил и куда потом пошел. Без этих деталей любое расследование становится гаданием, а соблюдение регуляторных требований — формальностью. Вот как собрать те самые детали, которые превращают запись о событии в доказательство." Почему стандартные логи, это … Читать далее
Брандмауэр пропускает или блокирует пакеты по статичным таблицам маршрутизации и правилам доступа. Система обнаружения вторжений работает в режиме пассивного мониторинга и генерирует оповещения при совпадении трафика или событий на хостах с заданными шаблонами. Разделение этих функций предотвращает ситуацию, когда защита превращается в инструмент создания точек отказа. https://seberd.ru/2146 Команды безопасности формулируют задачи до закупки оборудования. Аудиты … Читать далее
“Выбор между SIEM, XDR и SOAR, это не просто сравнение продуктов. Это решение о том, какую модель безопасности вы внедряете: централизованного надзора, проактивной защиты или автоматизации действий. Ни одна из них не заменяет другую полностью, но понять, что нужно именно вам, — сложнее, чем кажется.” На первый взгляд, вопрос “SIEM, XDR или SOAR?” звучит как … Читать далее
“В России SIEM покупают не для кибербезопасности, а для отчётности перед ФСТЭК. Поэтому реальный выбор определяется не списком фич, а способностью системы превратить ваш хаос логов в аккуратный отчёт, который поймёт проверяющий, — и сделать это на нестандартном российском софте, который вендору из Силиконовой долины даже не снился.” Что такое SIEM и зачем он нужен … Читать далее
«Смена SIEM, это разговор с бизнесом о том, что текущая «работающая» система больше симулирует работу, чем выполняет её. Она создаёт иллюзию контроля, но на деле слишком медленная, дорогая и беспомощная перед современными угрозами. Это не обсуждение функций, а спор о стратегии: стоит ли застревать в прошлом или сделать рывок к реальной осведомленности.» Почему «работает» — … Читать далее
«Большинство считает, что Lua — язык для игр или скриптов в Nginx. Но его настоящая сверхспособность — превращать монолитные системы мониторинга безопасности в живые, программируемые среды. За счёт минимализма он становится универсальным адаптером между несвязанными системами, позволяя писать логику безопасности, которая учитывает контекст, а не просто следует правилам.» Архитектура Lua: малое ядро в ядре SIEM … Читать далее
Почему классическая настройка SIEM убивает малый бизнес SIEM-система воспринимается как обязательный элемент защиты, что заставляет малый бизнес и стартапы с небольшим штатом ИБ-специалистов пытаться её внедрить. Но классический подход к внедрению, скопированный с крупных компаний, здесь не работает и создаёт три критические проблемы. Первая: паралич от тысяч алертов Стандартный сценарий: администратор подключает к SIEM все … Читать далее
«Формальное требование ФСТЭК превращается в основу для построения фактической безопасности. Журналы аудита, это не архив для регулятора, а детализированная запись всего, что происходит в системе. Когда они централизованы и доступны для анализа, вы перестаёте гадать и начинаете знать.» Исходная ситуация: разрозненная реальность Параметр Значение Тип организации Кредитная организация с филиальной сетью Обрабатываемые данные Финансовые транзакции, … Читать далее