Динамические плейбуки
Мы привыкли к стандартным планам реагирования, которые представляют собой либо развесистые алгоритмы действий, покрывающие большое количество ситуаций, либо много маленьких плейбуков, специализированных под конкретный тип инцидента. При этом инфраструктура предприятия – живой организм, который...
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Андрей Амирах, руководитель отдела технического пресейла Security Vision Тимур Галиулин, менеджер по развитию продуктов Infowatch В этой статье мы расскажем о процессе автоматизации рутинной деятельности в одном из подразделений ИБ крупной компании. Исходные данные: подразделение информационной...
Искусство следопыта в корпоративной инфраструктуре
В этой статье хотелось бы обсудить индикаторы атаки — ту часть Threat Intelligence, которая отвечает за эффективное реагирование на угрозы и расследование инцидентов. В этом контексте вспомним одну из апорий Зенона Элейского - про Ахиллеса и черепаху. Современный бизнес часто оказывается в позиции...
Модель зрелости SOAR
Михаил Пименов, аналитик Security Vision В этой статье мы попробуем взглянуть на модель зрелости компаний, внедряющих системы информационной безопасности класса IRP/SOAR. Здесь также существует масса интерпретаций и способов систематизации. Я предлагаю взглянуть на модель зрелости SOAR глазами...
The Hive. Разбор open source решения
В свете быстрого развития информационных систем и увеличения угроз кибербезопасности поиск надежных решений, позволяющих минимизировать вред от нарушения информационной безопасности (ИБ), становится важной задачей для различных организаций. Когда инфраструктура организации начинает настолько...
Как научиться выстраивать килчейн
Алексей Баландин, архитектор продукта Security Vision Михаил Пименов, аналитик Security Vision Впервые слово килчейн (точнее, несколько слов: The Cyber Kill Chain) как термин появилось в далеком 2011 году, когда американская компания Lockheed-Martin впервые предложила выстроить зафиксированные в...
False или не false?
При расследовании инцидентов есть несколько ключевых моментов этого процесса для аналитиков, на которые в данной статье мы обратим внимание – это корректность самого расследования, верная категоризация произошедшего, а также приоритет. Грамотно расставленные приоритеты, а именно, правильно...
Автоматизация безопасности с разнообразием матриц MITRE
Алексей Пешик, инженер-эксперт Security Vision Михаил Пименов, аналитик Security Vision С каждым годом методы получения неправомерного доступа к данным компаний и частных лиц становятся всё более изощренными. Эффективные меры защиты от проникновения в инфраструктуру породили более сложные,...
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Друзья, мы в Security Vision создали новую версию системы IRP/SOAR на платформе Security Vision 5 - Security Vision IRP/SOAR 2.0, в которой реализованы уникальные методы расследования и реагирования на инциденты ИБ на основе технологии динамических плейбуков. Предлагаю вашему вниманию статью о...
XDR vs SIEM, SOAR. Перемешать, но не взбалтывать
Привет, Хабр! Меня зовут Сергей Куценко, я являюсь экспертом направления информационной безопасности в К2Тех. Рынок решений информационной безопасности динамично развивается. В последнее время все больше на слуху концепции EDR (Endpoint Detection and Response) и XDR (Extended Detection and...
SOAR в Kubernetes малой кровью
Как идеально не строй цикл разработки и поиска уязвимостей, все равно будут существовать кейсы, которые приводят к security-инцидентам. Поэтому давайте соединим два ингредиента: control loop (reconciliation loop) и полную декларативную возможность Kubernetes и посмотрим, как автоматизировано...
[Перевод] Перевод: Понимание разницы между SOAR, SIEM и XDR
В поисках правильного решения для поддержки, развития и расширения возможностей вашего SOC, вот что необходимо знать при оценке XDR и SOAR. Читать далее...
Тестируем SOAR-решение Cortex XSOAR от Palo Alto Networks
Я строю SOC’и уже давно и вижу, как с каждым годом всё чаще в них можно встретить SOAR-решения (Security Orchestration Automation and Response). Это понятно: специалистов не хватает и нужно максимально автоматизировать процессы по управлению и реагированию на инциденты ИБ. Интересно, что...
Нормативное обоснование необходимости внедрения систем IRP/SOAR и SGRC
Актуальные тренды информационной безопасности четко дают понять, что без автоматизации процессов управления ИБ и реагирования на киберинциденты противостоять атакующим будет очень непросто. Количество бизнес-процессов, ИТ-активов и уязвимостей, сложность тактик и инструментов хакеров, скорость...
TheHive и Security Vision
Работая в SOC, я постоянно сталкивалась с закрытием однотипных кейсов из SIEM, с шаблонными действиями, например, проанализировать файл на Virus Total, заблокировать учетную запись в Active Directory, собрать информацию об активности хоста с межсетевого экрана и т.д. Читать далее...
Почему Cisco не покупает Splunk или рассказ о том, как работает платформа Cisco для threat hunting
Примерно раз в полгода какой-нибудь американский журналист публикует конспирологическую заметку о том, что Cisco вот-вот купит Splunk и зайдет в сегмент SIEM, так как это именно то, чего нам не хватает для окончательного завоевания мирового рынка ИБ (хотя мы и так уже были названы в марте вендором...