Rambler's Top100

Как приоритезировать события в SOC?, Блог персоны: Алексей ЛУКАЦКИЙ

На последнем PHDays, где я вел секцию по SIEM, все участники сошлись во мнении, что правила корреляции из коробки не работают и про них надо забыть сразу после покупки решения по управлению событиями безопасности. С SOC ситуация ровно таже самая и перед нами встает вопрос не только о том, как создать правила корреляции событий, но и как приоритезировать эти события, попадающие в поле зрения SOC. Как отсечь ложные срабатывания от реальных инцидентов?

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.
Реклама