SOC: логи, SIEM и расследование инцидентов

Реагирование на неавторизованные устройства

от

Подключённый в розетку маршрутизатор на двадцать портов часто становится невидимым мостом в защищённый контур. Стандартные инструкции предлагают еженедельное сканирование и сверку аппаратных адресов с таблицей. https://seberd.ru/2177 Подобный подход ломается при первом же столкновении с современными сетевыми стеками. Динамическая раздача адресов, частая ротация оборудования и массовое использование личных гаджетов превращают ручные списки в устаревший документ ещё … Читать далее

План реагирования на инциденты: живой процесс, а не архив

от

План реагирования работает не когда его достают из шкафа, а когда он растворён в повседневной работе. Его сила не в красивом документе, а в коллективных рефлексах, которые формируются за месяцы до реального взрыва. План реагирования — не документ, а привычка Формальный ответ на вопрос об актуальности сводится к необходимости регулярного пересмотра. Но реальность определяет не … Читать далее

Выявление инцидентов и реагирование на угрозы

от

🚨 Выявление инцидентов и реагирование Процессы обнаружения, анализа и устранения нарушений в ИСПДн Выявление инцидентов и реагирование на них формирует основу оперативной защиты персональных данных. Этот блок мер из приказа ФСТЭК № 21 обеспечивает непрерывный мониторинг, быструю реакцию и восстановление после нарушений. Меры обязательны для ИСПДн 1 и 2 уровней, частично для 3 уровня. 🎯 … Читать далее

Как собрать honeypot и узнать, кто сканирует вашу сеть

от

"Многие уверены, что honeypot — удел спецслужб или крупных компаний с отделом киберразведки. Но суть в другом: это простейший способ увидеть, что вашу сеть уже сканируют. Не абстрактные угрозы из отчётов, а конкретные IP-адреса и команды. Это переводит безопасность из области паранойи в область фактов. Развернув ловушку, вы получаете окно в процесс, который обычно остаётся … Читать далее

SIEM и XDR: почему их союз укрепляет оборону

от

«Когда все говорят о «следующем поколении» систем безопасности, создается впечатление, что одно должно заменить другое. Но на самом деле, SIEM и XDR, это не эволюционные ступеньки, а параллельные реальности, которые встречаются в точке оперативного расследования. Одна обеспечивает легитимность для регулятора, другая — скорость для обороны. И их столкновение рождает не хаос, а ту самую полноту … Читать далее

Нормативная карта реагирования на инциденты ИБ

от

🏦 Менеджмент инцидентов ИБ: нормативная карта для реагирования Как не утонуть в 14+ документах — от рекомендаций Банка России до приказов ФСБ — и построить работающий процесс Менеджмент инцидентов информационной безопасности в России строится не на одном документе, а на пересекающихся слоях требований. Банк России регулирует финансовый сектор через РС БР ИББС-2.5-2014, ФСТЭК устанавливает правила … Читать далее

События и паттерны в SIEM

от

События и паттерны SIEM В этом уроке мы подробно рассмотрим основные события и паттерны, которые система SIEM (Security Information and Event Management) помогает обнаруживать и анализировать. Понимание этих событий критически важно для обеспечения безопасности любой информационной системы. Что такое SIEM и почему это важно? SIEM (Security Information and Event Management), это комплексное решение для сбора, … Читать далее

Практические примеры расследования инцидентов в ИБ

от

"Журналы аудита, это не пассивные записи, а активные улики. Угроза сегодня, это не столько внешний хакер, сколько аномалия во внутреннем процессе, которую можно заметить только при правильно настроенном сборе контекста." Практические примеры расследования инцидентов Детализированные журналы аудита превращаются из формального требования в основу для цифрового криминалистического расследования. Рассмотрим, как именно записанные события позволяют восстановить картину … Читать далее

Практические методы снижения ложных срабатываний в SIEM

от

«Идеальная система обнаружения не та, которая срабатывает на всё, а та, которая понимает, что в вашей сети — нормально. Её молчание не должно означать катастрофу, а сигнал — не должен теряться в ежедневных тысячах событий. Работа сводится к тонкой настройке внимания системы: отсеять рутину, чтобы увидеть угрозу.» Цена шума в мониторинге Система, генерирующая несколько тысяч … Читать далее

Сбор деталей журналов аудита

от

"Стандартные логи показывают лишь факт открытия двери, но детализированный аудит рассказывает, кто, когда, с каким инструментом, что именно взял, куда положил и куда потом пошел. Без этих деталей любое расследование становится гаданием, а соблюдение регуляторных требований — формальностью. Вот как собрать те самые детали, которые превращают запись о событии в доказательство." Почему стандартные логи, это … Читать далее