Про наши подходы я вещал на Сбербанке, есть запись

Во, нашел: https://www.youtube.com/watch?v=5-CoJNjtAmY

The hive пользуемся

Что это?)

Это был сарказм, считаю очень глупо так откровенно рекламировать свои решения в профильной группе

Я честно говоря против пилотов. Моя концепция SOC в том что мы предоставляем клиенту законченный сервис - методологию, технологии, людей, процессы и мощности. И он говорит да или нет, подстройка минимальна. И тогда понятно за что мы отвечаем и это реальная ценность для клиента - не надо думать про эту функцию. Соответственно можно посмотреть наши отчёты и сходить на референс, на пилоте чего показывать? Что мы умеем коннекторы делать? Или надеяться что будет атака? Так с введением атак справляется лучше anti-apt, у soc задачи гораздо более широкие и универсальные.

Open source irp. Но я его клиентам не рекомендую, у него модель данных не от актива, он написан для внешних soc

Ссылку?

У заказчиков модель данных должна быть от актива?

За пойду курить стрельну и вернусь у вам)

🙏

https://www.anti-malware.ru/analytics/Market_Analysis/incident-response-platforms-irp-in-russia или так

От актива это почти идеальная модель данных, внешние soc имеют данных про активы клиента фундаментально меньше

Фундаментально плохое слово

Аутсорсер имеет плохое представление об инфраструктуре скорее потому что ему пох, а не из-за отсутствия инструментов)

Я знаю три крупных аутсорсера по ИБ с SOC, один TI-ориентирован, второй просит активы от клиента, а мы так вообще даём инстанс CMDB что бы в нем можно было вести данные. И не может нормальный SOC не хотеть знать активы - без этого непонятно какой инцидент критичен а какой нет

СОК которому пох. Отличный слоган, взять что ли на вооружение...

Что такое ti ориентированные?)

Критичность инцидента можно оценить используя три драйвера - важность актива, актуальность угрозы и достоверность данных. Вот он опирается на актуальность угрозы применяя широкий спектр аналитических источников (ti подписок)