Реальность SOC: мифы, ошибки и лучшие практики

Security Operation Center (SOC) — это подразделение, задачей которого является мониторинг, анализ и реакция на инциденты информационной безопасности. SOC использует разнообразные технологии и процедуры для защиты информационных активов компании от угроз. Основные функции включают в себя обнаружение подозрительной активности, анализ и реагирование на инциденты безопасности. Создание SOC требует ресурсов, в том числе квалифицированный персонал и специализированное оборудование. Виртуальный SOC предоставляет альтернативный вариант, позволяя компаниям аутсорсить функции безопасности специализированным провайдерам, сокращая затраты и повышая эффективность управления безопасностью. Смотрите новый выпуск с Денисом Батранковым, руководителем направления сетевой безопасности Positive Technologies, чтобы узнать больше! Таймкоды: 0:00 Начало 0:24 Вступление 0:50 Вы только думаете о SOC или вы думаете, как улучшить SOC? 1:13 Что такое Security Operation Center? 1:38 Типовой миф о SOC 1:59 Приритеты событий в SIEM 2:16 Корреляция событий в SIEM 2:33 Сравнение журнала СКУД и входа в AD 3:00 Важно, что в события должны смотреть люди 3:28 Как помочь людям видеть в журналах главное 3:57 SOC позволяет решать задачи ИБ эффективнее 4:06 Примеры задач, решаемых SOC 4:33 Алексей Плешков про SOC 5:08 Видеоролик про расследование инцидентов 5:17 Самая суть SOC: реагировать на важное 5:38 SOC строится на базе SIEM, поддерживается людьми и автоматизирует процессы 5:48 В SOC порядка 140 процессов — пример 6:02 Самый важный процесс SOC — обработка инцидентов людьми 6:24 За безопасность компании отвечают все сотрудники компании 6:41 Какие события надо собирать в SOC 7:06 Используйте базы индикаторов компрометации (IoC) 8:00 Tactics, Techniques and Procedures 8:32 Организационная структура SOC от 10 человек 9:06 Не отдавайте сотрудников SOC на администрирование СЗИ и ИТ средств! 9:40 Почему переходят на внешний SOC или Virtual SOC 10:29 Преимущества Managed Detection and Response (MDR) 10:58 Когда нужно использовать внешний SOC 11:18 А что вписывать в SLA? 11:55 Минусы и плюсы внешнего SOC 12:24 Как оценить эффективность SOC и зрелость SOC по CMMI 12:56 Рекомендуем процессы дорабатывать во внутреннем WiKi 13:23 Взломы происходят и ваша цель — вовремя узнать об этом 13:57 Use Cases в SIEM и как их внедрять 14:18 Число инцидентов на одного аналитика — важный критерий 14:40 MITRE ATT&CK и Kill Chain 14:56 Red, Blue, Purple teams 15:37 Заключение 15:56 Благодарность Виктору, Вячеславу и Андрею