Все о SOC: от автоматизации до первого алерта | Выпуск 2. Источники событий и правила корреляции
SOC начинается с событий — но какие из них действительно важны? Во втором выпуске подкаста разбираемся, как правильно выбирать источники данных для SOC, зачем нужны правила корреляции и можно ли обойтись только коробочным контентом SIEM. 💡 Обсуждаем: - Что считается источником событий SOC и какие системы стоит подключать в первую очередь - Когда стоит ограничивать подключение и почему не все нужно тянуть в SOC - Как контролировать качество и полноту собираемых событий - Почему «коробочный контент» SIEM часто не спасает - Когда пригодится собственная разработка правил корреляции и чем может помочь TI - SIGMA, ложные срабатывания и тестирование правил корреляции 🎧 Ведущий: Теймур Хеирхабаров, Директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE 👥 Участники: Максим Жевнерев, Руководитель отдела развития технологий и перспективных услуг SOC в Solar Олег Слепушенко, Руководитель направления мониторинга и реагирования RT Protect SOC Андрей Шаляпин, Руководитель BI.ZONE TDR Подписывайтесь, чтобы не пропустить новые выпуски — впереди еще много разговоров о SOC, автоматизации и детектировании. 00:00 Приветствие. О чём будет выпуск? 00:53 Гости 01:35 Что может выступать источником событий в SOC? 05:58 Как понять, что нужно подключать к SOC, а что нет? 13:29 Самые критичные источники, которые необходимо подключать к SOC в первую очередь. 16:10 Зачем продолжают подключать файерволы к SOC и нужно ли это делать? 21:00 Есть ли у рынка потребность в изменении модели лицензирования SIEM? 26:04 Есть ли любимые и нелюбимые источники, которые просят подключить клиенты? 34:37 Как бороться с покрытием и выстроить процесс подключения источников так, чтобы минимизировать слепые зоны? 41:21 Всегда ли хватает нормализации «из коробки» в SIEM? 47:40 Как решать проблемы, если процессы мониторинга не выстроены? 54:30 Как получать логи в нужном формате и объёме полей? 01:00:24 Имеет ли право на жизнь «коробочный» контент в внутреннем и коммерческом SOC? 01:05:52 Коробочный контент или Sigma? 01:09:00 Как понять, какие правила корреляции нужно создать? 01:14:05 Нужны ли длинные цепочки корреляций? 01:18:00 Как контролировать объём ложных срабатываний и не допустить ухудшения работы SOC из-за правил? 01:25:22 Что делать, если генерируется слишком много алертов, особенно в ночную смену? 01:29:55 Настанет ли время, когда не придётся писать правила корреляции вручную? 01:35:27 Завершение эфира Наши Социальные сети: Сайт - https://gdspace.ru/ VK - https://vk.com/globaldigitalspace Telegram - https://t.me/GDSpace RuTube - https://rutube.ru/u/GlobalDigitalSpace/?subscribe=true YouTube - https://www.youtube.com/c/GlobalDigitalSpace Дзен - https://dzen.ru/gdspace #SOC #SOCподкаст #информационнаябезопасность #SIEM #корреляциясобытий #источникисобытийSOC #правилакорреляции #ложныесрабатывания #автоматизацияSOC #TIинтеграция #ThreatIntelligence #Sigma #SOCаналитика #коммерческийSOC #внутреннийSOC #мониторингИБ #RTИБ #BI.ZONE #Solar #кибербезопасность #управлениеинцидентами #построениеSOC #SIEMконтент #подключениеисточниковSOC #настройкакорреляций #аналитикабезопасности #защитаданных #киберугрозы #SOCавтоматизация
SOC начинается с событий — но какие из них действительно важны? Во втором выпуске подкаста разбираемся, как правильно выбирать источники данных для SOC, зачем нужны правила корреляции и можно ли обойтись только коробочным контентом SIEM. 💡 Обсуждаем: - Что считается источником событий SOC и какие системы стоит подключать в первую очередь - Когда стоит ограничивать подключение и почему не все нужно тянуть в SOC - Как контролировать качество и полноту собираемых событий - Почему «коробочный контент» SIEM часто не спасает - Когда пригодится собственная разработка правил корреляции и чем может помочь TI - SIGMA, ложные срабатывания и тестирование правил корреляции 🎧 Ведущий: Теймур Хеирхабаров, Директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE 👥 Участники: Максим Жевнерев, Руководитель отдела развития технологий и перспективных услуг SOC в Solar Олег Слепушенко, Руководитель направления мониторинга и реагирования RT Protect SOC Андрей Шаляпин, Руководитель BI.ZONE TDR Подписывайтесь, чтобы не пропустить новые выпуски — впереди еще много разговоров о SOC, автоматизации и детектировании. 00:00 Приветствие. О чём будет выпуск? 00:53 Гости 01:35 Что может выступать источником событий в SOC? 05:58 Как понять, что нужно подключать к SOC, а что нет? 13:29 Самые критичные источники, которые необходимо подключать к SOC в первую очередь. 16:10 Зачем продолжают подключать файерволы к SOC и нужно ли это делать? 21:00 Есть ли у рынка потребность в изменении модели лицензирования SIEM? 26:04 Есть ли любимые и нелюбимые источники, которые просят подключить клиенты? 34:37 Как бороться с покрытием и выстроить процесс подключения источников так, чтобы минимизировать слепые зоны? 41:21 Всегда ли хватает нормализации «из коробки» в SIEM? 47:40 Как решать проблемы, если процессы мониторинга не выстроены? 54:30 Как получать логи в нужном формате и объёме полей? 01:00:24 Имеет ли право на жизнь «коробочный» контент в внутреннем и коммерческом SOC? 01:05:52 Коробочный контент или Sigma? 01:09:00 Как понять, какие правила корреляции нужно создать? 01:14:05 Нужны ли длинные цепочки корреляций? 01:18:00 Как контролировать объём ложных срабатываний и не допустить ухудшения работы SOC из-за правил? 01:25:22 Что делать, если генерируется слишком много алертов, особенно в ночную смену? 01:29:55 Настанет ли время, когда не придётся писать правила корреляции вручную? 01:35:27 Завершение эфира Наши Социальные сети: Сайт - https://gdspace.ru/ VK - https://vk.com/globaldigitalspace Telegram - https://t.me/GDSpace RuTube - https://rutube.ru/u/GlobalDigitalSpace/?subscribe=true YouTube - https://www.youtube.com/c/GlobalDigitalSpace Дзен - https://dzen.ru/gdspace #SOC #SOCподкаст #информационнаябезопасность #SIEM #корреляциясобытий #источникисобытийSOC #правилакорреляции #ложныесрабатывания #автоматизацияSOC #TIинтеграция #ThreatIntelligence #Sigma #SOCаналитика #коммерческийSOC #внутреннийSOC #мониторингИБ #RTИБ #BI.ZONE #Solar #кибербезопасность #управлениеинцидентами #построениеSOC #SIEMконтент #подключениеисточниковSOC #настройкакорреляций #аналитикабезопасности #защитаданных #киберугрозы #SOCавтоматизация