SOC: логи, SIEM и расследование инцидентов

Как внедрить систему обнаружения вторжений

от

Брандмауэр пропускает или блокирует пакеты по статичным таблицам маршрутизации и правилам доступа. Система обнаружения вторжений работает в режиме пассивного мониторинга и генерирует оповещения при совпадении трафика или событий на хостах с заданными шаблонами. Разделение этих функций предотвращает ситуацию, когда защита превращается в инструмент создания точек отказа. https://seberd.ru/2146 Команды безопасности формулируют задачи до закупки оборудования. Аудиты … Читать далее

Процедура реагирования на инциденты: больше, чем формальность

от

«Формальное соответствие требованиям 152-ФЗ, это лишь входной билет. Настоящая процедура реагирования начинает жить, когда отключают свет в дата-центре, SIEM загорается красным, а на горячую линию звонят клиенты, обнаружившие свои данные в слитой базе. В этот момент документ перестаёт быть текстом и становится нервной системой, которая должна запустить нужные процессы без лишних вопросов. Если команда впервые … Читать далее

SIEM, XDR или SOAR: как выбрать стратегию безопасности

от

“Выбор между SIEM, XDR и SOAR, это не просто сравнение продуктов. Это решение о том, какую модель безопасности вы внедряете: централизованного надзора, проактивной защиты или автоматизации действий. Ни одна из них не заменяет другую полностью, но понять, что нужно именно вам, — сложнее, чем кажется.” На первый взгляд, вопрос “SIEM, XDR или SOAR?” звучит как … Читать далее

Playbook для SOC: как создавать инструкции для трёх уровней реагирования

от

"Если посмотреть на три классических уровня реагирования (Tier) глазами регулятора, модель выглядит не как пирамида, где Tier-1 — основа, а как матрешка. Внешний, видимый слой, это документация, процессы и отчеты для ФСТЭК, которые должен обеспечить Tier-3. Внутри — реальная работа инженеров (Tier-2 и Tier-1), и чем дальше внутрь, тем меньше формализма и больше автоматизации. Стандартный … Читать далее

Выбор SIEM для России: отчётность прежде анализа

от

“В России SIEM покупают не для кибербезопасности, а для отчётности перед ФСТЭК. Поэтому реальный выбор определяется не списком фич, а способностью системы превратить ваш хаос логов в аккуратный отчёт, который поймёт проверяющий, — и сделать это на нестандартном российском софте, который вендору из Силиконовой долины даже не снился.” Что такое SIEM и зачем он нужен … Читать далее

Почему «работает» — опасный аргумент в пользу старой SIEM-системы

от

«Смена SIEM, это разговор с бизнесом о том, что текущая «работающая» система больше симулирует работу, чем выполняет её. Она создаёт иллюзию контроля, но на деле слишком медленная, дорогая и беспомощная перед современными угрозами. Это не обсуждение функций, а спор о стратегии: стоит ли застревать в прошлом или сделать рывок к реальной осведомленности.» Почему «работает» — … Читать далее

Язык программирования Lua в системе SIEM

от

«Большинство считает, что Lua — язык для игр или скриптов в Nginx. Но его настоящая сверхспособность — превращать монолитные системы мониторинга безопасности в живые, программируемые среды. За счёт минимализма он становится универсальным адаптером между несвязанными системами, позволяя писать логику безопасности, которая учитывает контекст, а не просто следует правилам.» Архитектура Lua: малое ядро в ядре SIEM … Читать далее

Как разработать единый план реагирования на связанные киберинциденты

от

«Восемь отдельных инструкций по реагированию на инциденты, это иллюзия контроля. Настоящая угроза возникает на стыке сценариев, когда утечка данных ведёт к шантажу, а DDoS парализует команду, пытающуюся всё это устранить. Нужен не набор разрозненных чек-листов, а единый алгоритм, который не позволяет действиям в одном направлении усугубить ситуацию в другом.» Восемь сценариев: от одиночных до каскадных … Читать далее

SIEM для малого бизнеса: три проблемы и альтернативный путь

от

Почему классическая настройка SIEM убивает малый бизнес SIEM-система воспринимается как обязательный элемент защиты, что заставляет малый бизнес и стартапы с небольшим штатом ИБ-специалистов пытаться её внедрить. Но классический подход к внедрению, скопированный с крупных компаний, здесь не работает и создаёт три критические проблемы. Первая: паралич от тысяч алертов Стандартный сценарий: администратор подключает к SIEM все … Читать далее

Сбор журналов аудита безопасности

от

«Формальное требование ФСТЭК превращается в основу для построения фактической безопасности. Журналы аудита, это не архив для регулятора, а детализированная запись всего, что происходит в системе. Когда они централизованы и доступны для анализа, вы перестаёте гадать и начинаете знать.» Исходная ситуация: разрозненная реальность Параметр Значение Тип организации Кредитная организация с филиальной сетью Обрабатываемые данные Финансовые транзакции, … Читать далее