Теперь всё понятно, спасибо за пояснение.

Не за что)

Всем привет)
А как считаете, SOC не занимающийся расследованием инцидентов, а только их обнаружением имеет место быть, или это неэффективно?

А что вы в итоге с инцидентами делаете?

В любом случае лучше знать, что у тебя в инфраструктуре происходит, чем не знать

"можно смотреть, но не трогать" :)

Многие инхаус соки такие/почти такие

Обычный центр мониторинга, большая часть именно так и работает, имхо.

При мониторинге и так собираются события инфраструктуры, почему бы дополнительно не реализовать и расследование

Дорого да и компетенция людей уходит в 0.
Не, простейшие проверки, особенно на f/fp - можно. Но держать инхаус форензиков и реверсеров для большинства - так себе идея

Их еще и найти почти невозможно

это же мы говорим по сути о 2ой и 3ей линии. Многие сервисы предлагают все 3 уровня...Ну второй уровень точно можно в умеренные ресурсы ресурсы реализовать, а третий уже конечно да

Alexey помоему вообще только 2 и 3 одобряет😊

Не пятница же ...

Мне кажется у топикстартера вообще подмена понятий произошла. Расследуют инциденты, обнаруживают события. Пока я не провел обработку/приоритизацию/анализ событий, я не могу говорить об инциденте. Если я все это сделал, то я уже провел базовое расследование инцидента. Вопрос в том, насколько глубоко я его провел. Просто внес в карточку инцидента обогащенный IP? Или проанализировал root cause, атрибуцию провел, форензикой побаловался, малварь отреверсил? Вот это уже мало кто делает. А база есть почти у всех. Иначе какой это нафиг SOC - так log management в красивой обертке или SIEM недоюзанный

Людей с нужной квалификацией тупо нет обычно.

А насколько сейчас дорога форензика как услуга? Много ли тех кто такие услуги оказывает? К своему стыду как-то этой темой не интересовался.

Ну с пяток контор на слуху

Из отечественных