Зачем SOC, VSOC и Red, Blue, Purple команды вашей компании: полное руководство

Чтобы продолжить изучение подписывайтесь на канал Топ Кибербезопасности HHvIeYkQgyhiMWIy и этот youtube канал. Security Operation Center (SOC) — это подразделение, задачей которого является мониторинг, анализ и реагирование на инциденты информационной безопасности на основе заданных процессов, командой сотрудников использующих правильные инструменты. Создание SOC требует ресурсов, в том числе персонал и оборудование. Виртуальный SOC предоставляет альтернативный вариант, позволяя компаниям аутсорсить функции безопасности специализированным провайдерам, сокращая затраты и повышая эффективность управления безопасностью. Благодарю Виктора Гордеева, Вячеслава Касимова и Андрея Поломошнова за помощь в подготовке выпуска! Вот тут предыдущие видеоролики из серии про продукты и сервисы первый второй 00:00 Начало 00:12 Вступление 00:37 Вы только думаете о SOC или вы думаете как улучшить SOC? 01:00 Что такое Security Operation Center? 01:25 Типовой миф о SOC 01:47 Приоритизация событий в SIEM 02:04 Корреляция событий в SIEM 02:20 Сравнение журнала СКУД и входа в AD 02:47 Важно, что в события должны смотреть люди 03:15 Как помочь людям видеть в журналах главное 03:44 SOC позволяет решать задачи ИБ эффективнее 03:53 Примеры задач, решаемых SOC 04:20 Алексей Плешков про SOC 04:56 Видеоролик про расследование инцидентов 05:05 Самая суть SOC: реагировать на важное 05:25 SOC строится на базе SIEM, поддерживается людьми и автоматизирует процессы 05:36 В SOC порядка 140 процессов - пример 05:40 Самый важный процесс SOC - обработка инцидентов людьми 06:11 За безопасность компании отвечают все сотрудники компании 06:28 Какие события надо собирать в SOC 06:54 Используйте базы индикаторов компрометации (IoC) 07:30 Схемы работы хакеров или Tactics, Techniques and Procedures 08:20 Организационная структура SOC от 10 человек 08:54 !!! Не отдавайте сотрудников SOC на администрирование СЗИ и ИТ средств! 09:28 Почему переходят на внешний SOC или Virtual SOC 10:14 Преимущества Managed Detection and Response (MDR) 10:36 Threat Hunting 10:46 Когда нужно использовать внешний SOC 11:06 А что вписывать в SLA? 11:38 Минусы и плюсы внешнего SOC 12:11 Как оценить эффективность SOC и зрелость SOC по CMMI и SOC CMM 12:44 Рекомендуем процессы дорабатывать во внутреннем WiKi 13:11 Взломы происходят и ваша цель - вовремя узнать об этом 13:45 Use Cases в SIEM и как их внедрять 14:05 Число инцидентов на одного аналитика - важный критерий 14:27 MITRE ATT&CK и Kill Chain 14:44 Red, Blue, Purple teams 15:24 Заключение 15:38 Благодарность Виктору, Вячеславу и Андрею