Подкаст «Все о SOC: от автоматизации до первого алерта» Выпуск 2. Источники событий и правила корреляции

Теймур Хеирхабаров

Директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE

Максим Жевнерев

Руководитель отдела развития технологий и перспективных услуг SOC в Solar

Олег Слепушенко

Руководитель направления мониторинга и реагирования RT Protect SOC

Формат

Запись

SOC начинается с событий — но какие из них действительно важны? Во втором выпуске подкаста разбираемся, как правильно выбирать источники данных для SOC, зачем нужны правила корреляции и можно ли обойтись только коробочным контентом SIEM.

💡 Обсуждаем:

- Что считается источником событий SOC и какие системы стоит подключать в первую очередь
- Когда стоит ограничивать подключение и почему не все нужно тянуть в SOC
- Как контролировать качество и полноту собираемых событий
- Почему «коробочный контент» SIEM часто не спасает
- Когда пригодится собственная разработка правил корреляции и чем может помочь TI
- SIGMA, ложные срабатывания и тестирование правил корреляции

🎧 Ведущий:
Теймур Хеирхабаров

👥 Участники:

Максим Жевнерев, Solar

Олег Слепушенко, РТ-ИБ

Андрей Шаляпин, BI.ZONE

Подписывайтесь, чтобы не пропустить новые выпуски — впереди еще много разговоров о SOC, автоматизации и детектировании.

Тайм-коды:
00:00 Приветствие. О чём будет выпуск?
00:53 Гости
01:35 Что может выступать источником событий в SOC?
05:58 Как понять, что нужно подключать к SOC, а что нет?
13:29 Самые критичные источники, которые необходимо подключать к SOC в первую очередь.
16:10 Зачем продолжают подключать файерволы к SOC и нужно ли это делать?
21:00 Есть ли у рынка потребность в изменении модели лицензирования SIEM?
26:04 Есть ли любимые и нелюбимые источники, которые просят подключить клиенты?
34:37 Как бороться с покрытием и выстроить процесс подключения источников так, чтобы минимизировать слепые зоны?
41:21 Всегда ли хватает нормализации «из коробки» в SIEM?
47:40 Как решать проблемы, если процессы мониторинга не выстроены?
54:30 Как получать логи в нужном формате и объёме полей?
01:00:24 Имеет ли право на жизнь «коробочный» контент в внутреннем и коммерческом SOC?
01:05:52 Коробочный контент или Sigma?
01:09:00 Как понять, какие правила корреляции нужно создать?
01:14:05 Нужны ли длинные цепочки корреляций?
01:18:00 Как контролировать объём ложных срабатываний и не допустить ухудшения работы SOC из-за правил?
01:25:22 Что делать, если генерируется слишком много алертов, особенно в ночную смену?
01:29:55 Настанет ли время, когда не придётся писать правила корреляции вручную?
01:35:27 Завершение подкаста