Многие из тех, кто сталкивался с SIEM, знакомы с разработкой правил корреляции. Производители SIEM-решений, коммерческие SOC, интеграторы — все предлагают свои правила и утверждают, что они лучше других. Так ли это на самом деле? Как выбрать поставщика правил? Что такое экспертиза в SIEM? Поразмышляем на эти темы под катом.
Николай Арефьев @nvnikolai
IT-Security
Глубины SIEM: корреляции «из коробки». Часть 5. Методология разработки правил корреляции
12 мин
12KЗавершаем цикл статей, посвященный правилам корреляции, работающим «из коробки». Мы ставили цель сформулировать подход, который бы позволил создавать правила корреляции, способные работать «из коробки» с минимальным количеством ложных срабатываний.
Изображение: Software Marketing
Изображение: Software Marketing
+4
Глубины SIEM: корреляции «из коробки». Часть 4. Модель системы как контекст правил корреляции
12 мин
5.8KПредставьте ситуацию: вы потратили много времени на написание и отладку правил корреляции, а через день обнаружили, что они не работают. Как говорится, никогда такого не было и вот опять! После выясняется, что ночью сеть в очередной раз модернизировали, а парочку серверов заменили, но правила корреляции этого не учитывают. В этой статье мы расскажем, как научить SIEM адаптироваться к постоянно изменяющемуся ландшафту инфраструктуры.
+12
Глубины SIEM: корреляции «из коробки». Часть 3.2. Методология нормализации событий
7 мин
8.2KКак корректно нормализовать событие? Как нормализовать аналогичные события от разных источников, ничего не забыв и не напутав? А что, если это будут делать два эксперта независимо друг от друга? В этой статье мы поделимся общей методологией нормализации, которая может помочь в решение этой проблемы.
Изображение: Martinoflynn.com
Изображение: Martinoflynn.com
+11
Глубины SIEM: корреляции «из коробки». Часть 3.1. Категоризация событий
23 мин
12KМожно ли категорировать все события, поступающие в SIEM, и какую систему категоризации для этого использовать? Как применить категории в правилах корреляции и поиске событий? Эти и другие вопросы мы разберем в новой статье из цикла, посвященного методологии создания работающих «из коробки» правил корреляции для SIEM-систем.
Изображение: Worktrooper
Изображение: Worktrooper
+7
Глубины SIEM: корреляции «из коробки». Часть 2. Схема данных как отражение модели «мира»
12 мин
16KЭто вторая статья цикла, который посвящен методологии создания работающих «из коробки» правил корреляции, для SIEM-систем. В предыдущей статье мы поставили перед собой данную задачу, описали преимущества, которые будут получены при ее выполнении, а также перечислили основные проблемы, стоящие у нас на пути. В этой статье мы приступим к поиску решений и начнем с проблемы трансформации модели «мира», а также ее проявления на этапе нормализации событий.
+7
Глубины SIEM: корреляции «из коробки». Часть 1: Чистый маркетинг или нерешаемая проблема?
10 мин
15KКак часто вы слышите утверждение что правила корреляции, поставляемые производителем SIEM, не работают и удаляются, или отключаются сразу же после инсталляции продукта? На мероприятиях по информационной безопасности любая секция, посвященная SIEM, так или иначе затрагивает данный вопрос.
Давайте рискнем и попробуем найти решение проблемы.
Давайте рискнем и попробуем найти решение проблемы.
+23
Информация
- В рейтинге
- Не участвует
- Откуда
- Москва, Москва и Московская обл., Россия
- Зарегистрирован
- Активность