На последнем PHDays, где я вел секцию
по SIEM, все участники сошлись во мнении, что правила корреляции из
коробки не работают и про них надо забыть сразу после покупки решения по
управлению событиями безопасности. С SOC ситуация ровно таже самая и
перед нами встает вопрос не только о том, как создать правила корреляции
событий, но и как приоритезировать эти события, попадающие в поле
зрения SOC. Как отсечь ложные срабатывания от реальных инцидентов?
Как приоритезировать события в SOC?, Блог персоны: Алексей ЛУКАЦКИЙ
На последнем PHDays, где я вел секцию по SIEM, все участники сошлись во мнении, что правила корреляции из коробки не работают и про них надо забыть сразу после покупки решения по управлению событиями безопасности. С SOC ситуация ровно таже самая и перед нами встает вопрос не только о том, как создать правила корреляции событий, но и как приоритезировать эти события, попадающие в поле зрения SOC. Как отсечь ложные срабатывания от реальных инцидентов?
Комментарии по материалу
Данный материал еще не комментировался.