Сайт использует сервис веб-аналитики Яндекс Метрика с помощью технологии «cookie». Пользуясь сайтом, вы даете согласие на использование данной технологии.
Security Operation Center (SOC) — это подразделение, задачей которого является мониторинг, анализ и реакция на инциденты информационной безопасности. SOC использует разнообразные технологии и процедуры для защиты информационных активов компании от угроз. Основные функции включают в себя обнаружение подозрительной активности, анализ и реагирование на инциденты безопасности. Создание SOC требует ресурсов, в том числе квалифицированный персонал и специализированное оборудование. Виртуальный SOC предоставляет альтернативный вариант, позволяя компаниям аутсорсить функции безопасности специализированным провайдерам, сокращая затраты и повышая эффективность управления безопасностью. Смотрите новый выпуск с Денисом Батранковым, чтобы узнать больше! ТАЙМКОДЫ 00:00 Начало 00:24 Вступление 00:50 Вы только думаете о SOC или вы думаете как улучшить SOC? 01:13 Что такое Security Operation Center? 01:38 Типовой миф о SOC 01:59 Приритеты событий в SIEM 02:16 Корреляция событий в SIEM 02:33 Сравнение журнала СКУД и входа в AD 03:00 Важно, что в события должны смотреть люди 03:28 Как помочь людям видеть в журналах главное 03:57 SOC позволяет решать задачи ИБ эффективнее 04:06 Примеры задач, решаемых SOC 04:33 Алексей Плешков про SOC 05:08 Видеоролик про расследование инцидентов 05:17 Самая суть SOC: реагировать на важное 05:38 SOC строится на базе SIEM, поддерживается людьми и автоматизирует процессы 05:48 В SOC порядка 140 процессов - пример 06:02 Самый важный процесс SOC - обработка инцидентов людьми 06:24 За безопасность компании отвечают все сотрудники компании 06:41 Какие события надо собирать в SOC 07:06 Используйте базы индикаторов компрометации (IoC) 08:00 Tactics, Techniques and Procedures 08:32 Организационная структура SOC от 10 человек 09:06 Не отдавайте сотрудников SOC на администрирование СЗИ и ИТ средств! 09:40 Почему переходят на внешний SOC или Virtual SOC 10:29 Преимущества Managed Detection and Response (MDR) 10:58 Когда нужно использовать внешний SOC 11:18 А что вписывать в SLA? 11:55 Минусы и плюсы внешнего SOC 12:24 Как оценить эффективность SOC и зрелость SOC по CMMI 12:56 Рекомендуем процессы дорабатывать во внутреннем WiKi 13:23 Взломы происходят и ваша цель - вовремя узнать об этом 13:57 Use Cases в SIEM и как их внедрять 14:18 Число инцидентов на одного аналитика - важный критерий 14:40 MITRE ATT&CK и Kill Chain 14:56 Red, Blue, Purple teams 15:37 Заключение 15:56 Благодарность Виктору, Вячеславу и Андрею
