Продолжая использовать сайт, Вы даёте УЦСБ SOC, действующему на основании устава, согласие на обработку файлов cookies и пользовательских данных (дата и время посещения; IP-адрес, присвоенный Вашему устройству для выхода в Интернет; тип браузера и операционной системы; URL сайта, с которого был осуществлён переход; данные, собираемые посредством агрегаторов статистики посещаемости веб-сайтов) в целях составления профиля и таргетирования товаров в соответствии с интересами посетителя сайта.
Согласие на обработку файлов Cookies
Мы используем файлы cookie. Продолжая использовать сайт, вы соглашаетесь с условиями использования cookie.
Нажимая «Отправить», я соглашаюсь на обработку моих персональных данных в соответствии с Федеральным законом № 152-ФЗ от 27.07.2006 г. на условиях, указанных в Согласии на обработку персональных данных
Нажимая «Отправить», я соглашаюсь на обработку моих персональных данных в соответствии с Федеральным законом № 152-ФЗ от 27.07.2006 г. на условиях, указанных в Согласии на обработку персональных данных
Свяжитесь
с экспертами
УЦСБ SOC
с экспертами
УЦСБ SOC
УЦСБ принял участие в онлайн-конференции AM Live
26 апреля 2022
20 апреля состоялась онлайн-конференция Anti-Malware.ru «Технологии и продукты оснащения SOC». Мероприятие было посвящено вопросам технологического обеспечения функционирования корпоративного центра обнаружения и реагирования на кибератаки (SOC – Security Operation Center) в условиях санкций и импортозамещения.
В рамках конференции участники обсудили изменения ландшафта угроз за последние 2 месяца, возможности для повышения эффективности работы центров мониторинга и реагирования на киберинциденты, влияние импортозамещения на выбор технологий и продуктов для оснащения SOC.
20 апреля состоялась онлайн-конференция Anti-Malware.ru «Технологии и продукты оснащения SOC». Мероприятие было посвящено вопросам технологического обеспечения функционирования корпоративного центра обнаружения и реагирования на кибератаки (SOC – Security Operation Center) в условиях санкций и импортозамещения.
В рамках конференции участники обсудили изменения ландшафта угроз за последние 2 месяца, возможности для повышения эффективности работы центров мониторинга и реагирования на киберинциденты, влияние импортозамещения на выбор технологий и продуктов для оснащения SOC.
Руслан Амиров, директор УЦСБ-SOC – центра мониторинга и реагирования на инциденты ИБ компании УЦСБ – принял участие в мероприятии в качестве спикера. В ходе эфира Руслан рассказал, почему перенос контента (включая сценарии выявления инцидентов) является одной из главных проблем при переходе на отечественные инструменты SOC:
«Ранее, когда на российском рынке активно работали иностранные производители SIEM-систем, перенос контента на отечественные аналоги был затруднен на базовом уровне: не хватало полей, парсеров, отсутствовала возможность расширить нормализацию. Сейчас наблюдается активное развитие отечественных продуктов, в которых уже появился необходимый функционал.
Следующий логичный вопрос, возникающий в рамках строительства SOC: почему нельзя взять контент из одного SOC, и перенести в другой? Ответ прост: потому что различаются не только применяемые технические решения, но и специфичность контента под конкретную связку решений».
В качестве одного из советов по разработке собственного контента Русланом было предложено использовать атрибутированные данные Threat Intelligence (TI) по конкретной организации. Сведения TI могут выступать опорой при проработке сценариев выявления потенциальных инцидентов, инициированных конкретными киберкриминальными группировками: речь идет о векторах атак, особенностях проникновения, закрепления и распространения в инфраструктуре, популярных индикаторах компрометации и так далее.
«Ранее, когда на российском рынке активно работали иностранные производители SIEM-систем, перенос контента на отечественные аналоги был затруднен на базовом уровне: не хватало полей, парсеров, отсутствовала возможность расширить нормализацию. Сейчас наблюдается активное развитие отечественных продуктов, в которых уже появился необходимый функционал.
Следующий логичный вопрос, возникающий в рамках строительства SOC: почему нельзя взять контент из одного SOC, и перенести в другой? Ответ прост: потому что различаются не только применяемые технические решения, но и специфичность контента под конкретную связку решений».
В качестве одного из советов по разработке собственного контента Русланом было предложено использовать атрибутированные данные Threat Intelligence (TI) по конкретной организации. Сведения TI могут выступать опорой при проработке сценариев выявления потенциальных инцидентов, инициированных конкретными киберкриминальными группировками: речь идет о векторах атак, особенностях проникновения, закрепления и распространения в инфраструктуре, популярных индикаторах компрометации и так далее.