Применение SIEM для расследования инцидентов
Выявление инцидентов является одной из основных задач специалистов по информационной безопасности. Обнаруживать инциденты можно различными способами. Например, можно вручную анализировать журналы событий в поисках интересующих сообщений о подозрительных активностях. Можно на основе grep и регулярных выражений разработать скрипты, которые будут в более менее автоматизированном режиме искать нужные события. Также сами логи можно хранить локально на той же машине, можно централизованно складывать и анализировать на отдельном сервере. Однако, все эти самопальные инструменты хороши, когда речь идет о нескольких серверах и не слишком большом потоке событий.
В случае, если у нас десятки и сотни серверов, генерирующих события, лучше всего использовать специализированные решения SIEM (Security information and event management), предназначенные для управления событиями безопасности. Помимо централизованного хранения событий ИБ, SIEM также может анализировать приходящие события на соответствие правилам корреляции для выявления инцидентов, и вот об этом мы и будем говорить в данной статье. В качестве примеров логов будут рассматриваться как журналы событий ОС Windows, так и Linux.
Читать далееИсточник: Хабрахабр
Похожие новости
- Топ слов года у российских телеграм-блогеров
- Коммуникации переходят на «МЫ»
- Incident response XXII века: как PAM-система помогла выявить атаку в прямом эфире
- Базовая настройка SAST и DAST для django в gitlab cicd: как быстро внедрить решения по безопасности
- MITM атаки
- MarketingNews: AppMetrica: выручка приложений российских e-commerce брендов выросла на 57%
- AppMetrica: выручка приложений российских ecommerce-брендов выросла на 57%
- Ирина Андреева: Акции самих себя и венчурные инвестиции: новый взгляд на креативную экономику
- Безопасная миграция данных из Vault одной командой
- ПНИПУ 161840: Ученые Пермского Политеха научили нейросеть быстро и точно менять режимы работы электродвигателя для управления сложными механизмами