Логи, SIEM и обнаружение вторжений

SIEM-системы: от разрозненных логов к пониманию инцидентов

от

Инфраструктура современной компании непрерывно генерирует события. Контроллер домена фиксирует вход пользователя, VPN-шлюз сохраняет внешний IP-адрес, EDR пишет дерево процессов, DNS-сервер регистрирует запросы доменных имён, а межсетевой экран отмечает сетевые соединения между сегментами. За сутки даже средняя организация создаёт миллионы записей. Внутри такого потока невозможно вручную заметить компрометацию или восстановить последовательность действий злоумышленника. https://seberd.ru/3973 Проблема заключается … Читать далее

SIEM: технический перевод стандартов безопасности в живую защиту

от

«SIEM, это не сборщик логов, а переводчик. Её работа — превращать абстрактные требования стандартов в исполняемые технические правила, которые работают прямо сейчас. Без этого перевода соответствие остаётся бумажной фикцией, а реальная защита — реактивной и разорванной на куски.» От сбора событий к управлению информационной безопасностью Ценность SIEM раскрывается не в механическом накоплении логов, а в … Читать далее

Как обеспечить хранение журналов аудита

от

«Без логов вы не просто не увидите атаку — вы не сможете доказать, что она была. Вы останетесь с утечкой данных, сломанными системами и не сможете ответить на главные вопросы регулятора: что произошло, когда и по чьей вине. Логи, это не просто данные, это ваша институциональная память и единственный беспристрастный свидетель в киберпространстве.» Неизменяемая память … Читать далее

Как SIEM воплощает стандарты кибербезопасности в жизнь

от

“SIEM, это механизм воплощения требований. Он превращает абстрактные принципы из сотен страниц стандартов в набор работающих правил, которые следят, анализируют и реагируют в реальном времени. Без этого слоя соответствие остаётся формальным отчётом, а не живой практикой в центре мониторинга.” Почему стандарты сами по себе бесполезны для SOC Фреймворки вроде NIST CSF или стандарты ISO 27001 … Читать далее

От инструмента к сервису: как внедрить SIEM с практической пользой

от

«Покупка SIEM без выстроенного процесса мониторинга, это гарантированный провал бюджета и имитация деятельности. Реальный результат — не установленная программа, а ежедневно работающий механизм, который сокращает риски и экономит время. Сделать это можно, только если с самого начала перестать говорить об инструменте и начать проектировать сервис.» Точка старта: почему формальные причины ведут в тупик Проекты по … Читать далее

Почему пентестеры зарабатывают больше SOC-аналитиков

от

“Зарплатное неравенство в ИБ, это не просто цифры. Это отражение того, как рынок оценивает риск, видимость и немедленный результат против рутинной, но критически важной работы по предотвращению инцидентов. Пентестеры получают больше не потому, что они умнее, а потому, что их работа проще для понимания, продажи и измерения. SOC-аналитики же, это страховка, которую все хотят иметь, … Читать далее

GPT: от статических правил к контекстному анализу алертов в SIEM

от

«Необходимость выстраивать сложные правила корреляции для обнаружения инцидентов похожа на попытку понять книгу по отдельным буквам. GPT даёт возможность читать эту книгу целиком, обнаруживая невидимые для формальной логики связи между событиями.» Проблема статичных правил корреляции Классические системы SIEM работают на основе заранее определённых правил корреляции. Правило, которое сигнализирует о инциденте при нескольких неудачных попытках входа … Читать далее

Надёжное хранилище журналов аудита

от

» В распределённой инфраструктуре логи генерируются непрерывно, но их жизненный цикл часто противоречит регуляторным требованиям. Автоматическая ротация каждые две недели может уничтожать данные, которые по закону должны храниться минимум полгода. Потеря логов при аппаратном сбое делает невозможным восстановление картины инцидента, что прямо нарушает требования 152-ФЗ о сохранности доказательной базы. Проблема не в объёме данных, а … Читать далее