Современный подход к построению RuSIEM: процесс, технологии, люди

RUSIEM SOC Код ИБ Онлайн Построение SOC

Библиотека безопасника / Презентации к докладам

331 просмотры

0 0

3. КАК ЭТО ВИДЯТ ОСТАЛЬНЫЕ R u S I E M

4. КАК ЭТО НА САМОМ ДЕЛЕ R u S I E M

6. КАКИЕ БЫВАЮТ SOC? Аутсорс Собственные Гибридные R u S I E M

13. СПАСИБО ЗА ВНИМАНИЕ! Антон Фишман технический директор RuSIEM +7 (903) 158 1572 a.fishman@rusiem.ru

2. ЧТО ТАКОЕ SOC*? Центр мониторинга и реагирования на инциденты информационной безопасности *SOC - security operations center R u S I E M

1. СОВРЕМЕННЫЙ ПОДХОД К ПОСТРОЕНИЮ SOC: ПРОЦЕСС, ТЕХНОЛОГИИ, ЛЮДИ ВАЖНОСТЬ ПРАВИЛЬНОГО ВЫБОРА И ВЫСТРАИВАНИЯ ВСЕХ КОМПОНЕНТОВ 1 4 АПРЕЛЯ 2 0 2 1 Антон Фишман, технический директор RuSIEM

9. Процессы SOC МОНИТОРИНГ Security monitoring УПРАВЛЕНИЕ УЯЗВИМОСТЯМИ Vulnerability Management РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ Отработка происшествий ФОРЕНЗИКА Криминалистика R u S I E M

10. Процессы SOC C O M P L I A N C E С оответствие стандартам T H R E A T I N T E L L I G E N C E ВНУТРЕННИЙ ПЕНТЕСТ Оценка защищенности T H R E A T H U N T I N G R u S I E M Киберразведка

8. КОМАНДА ПЕРВАЯ ЛИНИЯ Анализ SIEM и первичный анализ ВТОРАЯ ЛИНИЯ Расследование инцидентов ТРЕТЬЯ ЛИНИЯ Глубокий анализ инцидентов и артефактов АНАЛИТИКИ S O C Написание плейбук ов , правил корреляции и т . д . ) СПЕЦИАЛИСТЫ ПО РЕАГИРОВАНИЮ R u S I E M

12. • Сбор событий с различных источников • Нормализация • Поиск по событиям • Корреляция • Управление инцидентами • Система отчетности • Управление рисками • Аналитика • UEBA • Управление активами • Управление уязвимостями • И многое другое ....

7. ИЗ ЧЕГО СОСТОИТ SOC SOC - механизм , который держится на трех базовых слагаемых : • команда ( персонал ) • процесс ы ( функционал ) • технологи и ( инструментарий ) R u S I E M

11. ТЕХНОЛОГИ И • Security Information and Event Management (SIEM) • SOAR (IRP) • Knowledge Database • Service Desk • Vulnerability Management • Threat Hunting Automation (+EDR) • Threat Intelligence Feeds • Threat Intelligence Platform • Forensic Laboratory (Sandbox) • Датчики : - IDS/IPS - FW - E - mail - Proxy - ... R u S I E M

5. R u S I E M ЗАЧЕМ НУЖЕН SOC? • Непрерывный контроль . Вопрос не в том , взломают или нет , вопрос – когда ? • Рост количества информационных систем и их сложность – > контролировать много каналов • Централизованная обработка и хранение данных о вторжениях и киберугрозах • Сами атаки стали комплекснее и требуются процессы и скорость • Compliance: Критичнее активы – важно защищать