Подкаст «Все о SOC: от автоматизации до первого алерта» | Выпуск 5. Мониторинг и реагирование как основа SOC

Теймур Хеирхабаров

Директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE

Лада Антипова

Руководитель отдела реагирования и цифровой криминалистики Angara Security

Владимир Мельников

Руководитель Центра мониторинга и реагирования, Билайн

Антон Юдаков

Операционный директор центра мониторинга и противодействия кибератакам Solar JSOC, ГК «Солар»

Формат

Запись

Мониторинг и реагирование — это фундамент любого SOC. Но как выглядит этот фундамент на практике? Что происходит с алертом с момента его появления и до полноценного инцидента? Где заканчивается «просто сработка» и начинается реальная работа аналитиков, DFIR и команд реагирования?

В новом выпуске подкаста разбираем SOC «по слоям»:
— жизненный цикл алерта: от сработки правила до инцидента;
— где и как лучше агрегировать алерты и нужен ли отдельный IRP/SOAR;
— какие сработки вообще стоит регистрировать, а какие — отсекать сразу;
— приоритезацию алертов: вручную или автоматически;
— что такое качественный триаж и какие ошибки аналитики совершают чаще всего;
— роль обогащений, EDR и плейбуков на этапе первичного анализа;
— когда и по каким критериям алерты эскалируются на L2/L3;
— возможности реагирования в SOC и различия между внутренним и коммерческим SOC;
— когда аналитиков уже недостаточно и пора подключать DFIR;
— что реально помогает при расследовании, а что только мешает.

Ведущий:
Теймур Хеирхабаров, BI.ZONE

Участники:
— Антон Юдаков, Solar
— Лада Антипова, Angara MTDR
— Владимир Мельников, Билайн

Наши Социальные сети:
Сайт - https://gdspace.ru/ 
VK - https://vk.com/globaldigitalspace 
Telegram - https://t.me/GDSpace 
RuTube - https://rutube.ru/u/GlobalDigitalSpace/?subscribe=true 
YouTube - https://www.youtube.com/c/GlobalDigitalSpace 
Дзен - https://dzen.ru/gdspace

Тайм-коды:
00:00 Вступление: приветствие и обзор темы выпуска.
01:14 Стадии жизненного цикла алерта. Первая стадия: регистрация обнаружений в пространстве аналитиков. Что это за пространство? Куда складируются все алерты? Когда хватает SIEM, а когда нужны дополнительные системы?
14:40 СУАР: Все ли сработки корреляционных правил должны регистрироваться в системе?
23:04 Приоритизация алертов: критерии для аналитиков. Что обрабатывать в первую очередь? По каким параметрам расставлять приоритеты?
33:24 Ручной триаж: что делает аналитик на этапе первичной обработки? Сущность и шаги процесса.
47:38 Ложные срабатывания: какая их доля в вашем SOC? Влияние на работу команды.
01:01:45 Плейбуки: нужны ли аналитикам? Сколько их должно быть и как структурировать?
01:17:02 Инструменты реагирования в коммерческом SOC: должен ли аналитик выполнять активные действия в инфраструктуре клиента? Какие именно?
01:26:57 Инструменты реагирования во внутреннем SOC.
01:33:03 Передача инцидента DFIR-команде: где грань после аналитиков? Критерии эскалации.
01:42:00 Форензика во внутреннем SOC: нужна ли собственная команда? Есть ли у вас свои специалисты?
01:47:25 Подготовка к инциденту заранее: ключевые меры и практики.
01:56:51 Завершение эфира.

Смотрите тут ⬇️

📺 YouTube
📺RUTUBE
📝Дзен

Партнёры