Явно не матрена выгребает логи из Виндоус журналов и чекпоинта

Я напишу вкратце пример, можно будет решить про ИБ ли:)  Обеспечение возможности расследования инцидентов ИБ в финансовой организации и выполнение требований регуляторов международных

Я понял...

ёлкины биты. по отдельности ведь это ручейки, а стекаются и получается Волга. выгребать — это относительно мелкая и практически решённая проблема даже для извращённых случаев типа чекпоинта

Почитал дискуссию. Завидую. Вот ведь людям делать нечего, а в танчики играть видать надоело. Сферических коней они выдумывают.  Что тут выдумывать? Построить SOC очень просто. Сначала надо понять зачем он нужен и выделить какие-то конкретные задачи SOC на первом этапе (потом появятся другие). Затем нужно составить проект. Затем переделать проект, чтобы он укладывался в бюджет. Затем реализовать этот проект.  Что тут обсуждать? бери и делай.

А потом жить с итогами этого проекта, потому что operations, ключевая буква в слове SOC,  только начинается :)

Интересный блог, https://holisticinfosec.blogspot.com/ есть обзоры некоторых любопытных утилит.

как говорили в Советсой Армии: "Не можешь так жить? Вешайся."

Моя мысль была скорее в том, что в этот момент SOC только начинается

Ну да. И еще пару лет эту кучу железа, и сборище гиков придется превращать собственно в SOC.

пытаюсь быть непредвзятым. Даже взял паузу на пару часов чтоб не написать сразу лишнее. Но на мой взгляд это какая-то дичь.

Я начну издалека и это будет лонгрид

Вот случайно собралось достаточно много людей интересующихся определенной темой.  Из названия плюс минус понятно в целом что здесь обсуждают.
Как это и бывает в большинстве открытых групп (даже если это оффлайн группа например молодых мам в детском кафе, или рейв вечеринка) эксперты доминируют по количеству слов выпущенных в единицу времени. Эксперты - в данном случае я  говорю про тех кто по долгу службы тратят больше остальных времени на эту тему и им точно есть что рассказать.
Вот есть какие-то простые вопросы , есть  интересные темы, есть забавные факты.
Вместо того, чтоб давать пищу для размышления всем остальным. Мы раз за разом скатываемся в
"ну так нет исходных условий", или "Надо смотреть на бизнес задачу от заказчика",  "давайте поймём зачем на нужен soc" и т.д.

И я больше того скажу так происходит на каждой конференции по теме,
И больше того открываю зарубежную литературу а там "siem плохо внедряется потому что заказчик не знал зачем он ему" , "низкая эффективность siem , из-за плохо сформулированных требований на входе". "Проблема в невысокой компетенции специалистов заказчика" и так далее.

Но честно говоря для меня это вызывает четкую ассоциацию с мудростью ещё  со школьной скамьи. "Если 2 ку поставили тебе одному - это твоя проблема, если 2ку получили все в классе это проблема преподавателя"
Наверно если мы ходим вокруг одних и тех же проблем и они встречаются повально и поголовно, пора бы начать их решать более системно и начинать с себя.

Например раз тут так много умных и талантливых, напишем за сутки сюда все типы задач для которых стоит строить soc. Все что вы встречали в своей практике. Это ведь точно не коммерческая тайна и не ноу-хау. А потом мы попросим  проголосовать, и будет понятно, как в целом, большинство из нас (ну хоть сотенку то мнений мы собирем) считает зачем ему пригодился бы soc. И может быть так , шаг за шагом мы начнём идти к какому-то светлому будущему, наполненому ясности и всеобщего счастья.

Или пока рановато и все это ерунда?
Поставьте + если так и - если все бред и тлен.

Энтропия не убывает. Будущее ясности и счастья не наступит никогда. Нельзя объять необъятное, хватай сколько сможешь. Люди, которые занимаются практическими задачами, не могут решать "общечеловеческие проблемы", нет ни времени ни желания. Хотите создать общую теорию всего - займитесь этим в тишине и одиночестве, как Эйнштейн. Иначе будет просто срач.

+
Для начала из обыденных кейсов, кто борется с элементарной задачей цифровой гигиены, а именно передача своих паролей коллегам?  
Суть кейса: как контролировать передачу паролей от рабочей учетной записи коллегам или третьему лицу, а так же как настроить правило корреляции на своей siem.
Вариант решения:
1. интеграция SIEM с системами контроля доступа в помещения, настройка правил корреляции между скуд и логином в домен. Отдельно рассматривать вход по vpn.
2. ваши варианты

А вы им двухфакторку врубите на смартфоны, вот поржем, когда они будут друг-другу свой смартфоны оставлять :)

корреляция между логином в информационную систему (например, SAP) и входом в AD - если логины разнятся то вопрос.. требует порядка в созданиях логинов

VB пока мы родим великое оно устареет и станет бесполезным

Если начинать с простого, без сложностей, то прежде всего нужно понять как обрабатывать данные. Писать регулярку под каждый лог под каждый тип? На питоне легко, но работает медленно, какие другие выходы есть?

Интерактивные логины на разных хостах в близкое время. Использование одной учетки в сеансах разных терминалов (это например в СУБД). Геолокация при удалённом доступе, особенно хороша в ActiveSync, всегда знаешь где находится сотрудник. СКУД - это как раз последнее, что может прийти в голову. Люди не передают пароли просто так, от нечего делать. Это вызвано какой-то необходимостью. Устраните эту необходимость.

Это + или - ? Выглядит как -. Так не стесняйтесь. Ставьте

+ основная задача, выстроить реагирование на инциденты. Задача эта нужна тем, кто пришел к тому, что этот процесс становится слишком дорогим или не эффективным, чтобы этим заниматься не систематически. Остальное это просто технологии, которые имеют наименьшее значение.