Привет! На связи руководитель экспертизы MaxPatrol SIEM Кирилл Кирьянов и старший специалист группы обнаружения APT-атак Сергей Щербаков. В одной из прошлых статей нашего цикла мы говорили про нормализацию и обогащение как первые шаги в работе с любым событием в SIEM-системе. Сегодня зайдем чуть дальше и рассмотрим следующий этап жизненного пути инцидента — работу правил корреляции.
Разберемся, что такое экспертиза, какие у нее бывают источники, как появляются новые правила корреляции и как их проверяют перед развертыванием. Подробнее взглянем на все этапы создания контента, поговорим о его обновлении и интеграции с другими продуктами киберзащиты.
Заглянем под капот нашей SIEM?
Все статьи подряд / Информационная безопасность / Хабр
Ваша реакция?
+1
+1
+1
+1
+1
+1
+1