VB
Ну, если, к примеру, у потенциального заказчика есть КИИ, то нужно выдерживать определённый sla для уведомления кого следует.
Size: a a a
2020 March 04
12
Без контроля никуда. :) но интересно насколько успешной может быть такая модель разделения мониторинга.
Контролёра тоже нужно контролировать...уходим в рекурсию
VB
Для этого у контролёра есть начальник :))
I
Если у заказчика есть зокии где 3 часа то коммерческий сок может ночью либо самостоятельно принимать решение об информировании либо считать что инцидент является выявленным после подтверждения заказчика
VB
Можно и 9х5 - коммерческий сок не будет за вами бегать ночью если вам оно не нужно :))
Тогда и сам soc в принципе может быть не нужен...
I
Кому попадья, кому попова дочка (с) народ. Случаи бывают разные, как и пожелания заказчиков.
МЖ
Да вся проблема в том, что SOC (и у Алексея примерно об этом в статье) зачастую приравнивают к первой линии.
При том что первая линия - это, имхо, лишь верхушка всего этого мракобесия. Ее вообще может не быть. Нет никакой проблемы алерты слать напрямую. С максимальным контекстом и гибкостью настройки при желании.
Ибо в первую очередь заказчик от SOC получает:
- Экспертизу по мониторингу. Что подключать, как подключать, как правильно настроить СЗИ для максимума пользы, как работать с алертами
- Экспертизу по разработке правил детекта (включая весь доступный контент в SOC'а, в том числе сделанный под других заказчиков). По сути возможность реализации почти всех своих идей и мыслей. То, на что внутри реально не всегда есть ресурсы.
- Экспертизу по расследованию инцидентов
- Различные плюшки по интеграциям с внешними сервисами (в том числе TI, который себе далеко не каждый может купить и использовать)
- Различные плюшки по наведению порядка в инфраструктуре и обеспечении доступности и работоспособности всей инфраструктуры SIEM'овской
- ну и да, возможность отдать кучу рутинных операций, если таковые имеются.
Естественно, чтобы это работало эффективно, заказчику придется прикладывать немало усилий со своей стороны :) Ибо у каждого тараканы свои и то, что одному очевидно - другому далеко нет. И дело даже не в разном уровне "экспертизы". Даже в этом чатике эксперты не всегда могут договориться :)
При том что первая линия - это, имхо, лишь верхушка всего этого мракобесия. Ее вообще может не быть. Нет никакой проблемы алерты слать напрямую. С максимальным контекстом и гибкостью настройки при желании.
Ибо в первую очередь заказчик от SOC получает:
- Экспертизу по мониторингу. Что подключать, как подключать, как правильно настроить СЗИ для максимума пользы, как работать с алертами
- Экспертизу по разработке правил детекта (включая весь доступный контент в SOC'а, в том числе сделанный под других заказчиков). По сути возможность реализации почти всех своих идей и мыслей. То, на что внутри реально не всегда есть ресурсы.
- Экспертизу по расследованию инцидентов
- Различные плюшки по интеграциям с внешними сервисами (в том числе TI, который себе далеко не каждый может купить и использовать)
- Различные плюшки по наведению порядка в инфраструктуре и обеспечении доступности и работоспособности всей инфраструктуры SIEM'овской
- ну и да, возможность отдать кучу рутинных операций, если таковые имеются.
Естественно, чтобы это работало эффективно, заказчику придется прикладывать немало усилий со своей стороны :) Ибо у каждого тараканы свои и то, что одному очевидно - другому далеко нет. И дело даже не в разном уровне "экспертизы". Даже в этом чатике эксперты не всегда могут договориться :)
RI
Let’s Encrypt отзывает три миллиона сертификатов из-за ошибки при проверке владения доменом при их выпуске.
The most popular free certificate signing authority Let's Encrypt is going to revoke more than 3 million TLS certificates within the next 24 hours that may have been issued wrongfully due to a bug in its Certificate Authority software.
The bug, which Let's Encrypt confirmed on February 29 and was fixed two hours after discovery, impacted the way it checked the domain name ownership before issuing new TLS certificates.
The most popular free certificate signing authority Let's Encrypt is going to revoke more than 3 million TLS certificates within the next 24 hours that may have been issued wrongfully due to a bug in its Certificate Authority software.
The bug, which Let's Encrypt confirmed on February 29 and was fixed two hours after discovery, impacted the way it checked the domain name ownership before issuing new TLS certificates.
I
По поводу soc и необходимости первой линии.
Коллеги, где ваш альтруизм?
Куда идти вчерашним студентам без опыта?
Сидеть, смотреть в сием и проникаться духом ИБ))))
Коллеги, где ваш альтруизм?
Куда идти вчерашним студентам без опыта?
Сидеть, смотреть в сием и проникаться духом ИБ))))
2020 March 05
Z
Сам митник....
Z
2020 March 06
IB
Сам митник....
А толку то? У нас ведь нет АТС)
Z
А толку то? У нас ведь нет АТС)
и не говорите....
NA
АТС нет, но можно попробовать пошипеть в в оптику, голосом эмулируя модем и протокол SMB.
NA
Со стороны должно смотреться забавно.
I
В оптику нужно моргать глазом а не шипеть голосом
P
фонариком щёлкать...
Z
Pavel
фонариком щёлкать...
+
DP
Pavel
фонариком щёлкать...
Господа, в чате физик
P
Pavel
фонариком щёлкать...
моргать глазами, но фонариком посветить в ухо...