|
Professor Seleznov
|
Привет, Хабр!
На связи Павел Пугач, системный аналитик «СёрчИнформ». Завтра, 21 мая, я провожу вебинар про то, как подружить анализ угроз (TI) и практическое управление инцидентами в системе мониторинга (SIEM).
ИБ-специалисты должны отслеживать новые индикаторы угроз и оперативно перенастраивать системы защиты, чтобы их обнаруживать. Но иногда огромный объем аналитики непросто взять и встроить в ежедневную работу: рискуете утонуть в алертах и вместо оперативной реакции на инциденты тратить силы на разбор мусора.
На вебинаре «Индикаторы угроз: получили – применили – поймали» разберемся, как внедрять фиды в SIEM просто и эффективно.
Я покажу в работе, как:
- Применить анализ угроз на практике. Расскажу, что такое индикаторы компрометации, где их брать и как работать с ними в SIEM (на примере нашей «СёрчИнформ Мониторинг безопасности»).
- Обнаружить репликацию служб каталогов (DCSync), «Золотой билет» и другие атаки, подозрительные операции и аномальные привилегии.
- Отсеять «мусорные» алерты. Настроим фильтрацию (и убедимся, что лучше белых/черных списков для этого пока ничего не придумали).
- Вывести один подход для сетевых адресов (IP, URL), хешей файлов, пользователей, чтобы точно обнаружить атаку.
Присоединяйтесь к вебинару завтра, 21 мая, в 11:00. Участие бесплатное, нужна регистрация вот тут.-Источник
|
|
|
