y
The hive пользуемся
еще раз напишете "the hive" раздельно (подразумевая foss irp TheHive) и я начну убивать заложников %)
Size: a a a
2018 July 13
SS
Я честно говоря против пилотов. Моя концепция SOC в том что мы предоставляем клиенту законченный сервис - методологию, технологии, людей, процессы и мощности. И он говорит да или нет, подстройка минимальна. И тогда понятно за что мы отвечаем и это реальная ценность для клиента - не надо думать про эту функцию. Соответственно можно посмотреть наши отчёты и сходить на референс, на пилоте чего показывать? Что мы умеем коннекторы делать? Или надеяться что будет атака? Так с введением атак справляется лучше anti-apt, у soc задачи гораздо более широкие и универсальные.
На пилоте можно проверить: 1) как сервис вписывается в существующую операционную модель и интегрируется технологически; 2) какова конечная ценность сервиса в конкретных условиях; 3) каковы требуемые инвестиции (ресурсные в т.ч.) со стороны заказчика. Поставщику пилоты позволяют развиваться, так как планы лучше брать из практики. В общем, Саша, извини, не могу с тобой согласиться, причем, что я пишу, по-моему, очевидно. Это же мы все об аутсорсинге говорим, а чтобы решиться на аутсорсинг для себя надо ответить на ряд вопросов (список этих вопросов здесь:
SS
) пилот даст ответы на эти вопросы
SS
Что такое ti ориентированные?)
Вот книжка неплохая, прочитайте, там есть ответ на этот ваш, полагаю саркастический, вопрос
SS
ВД
Я знаю три крупных аутсорсера по ИБ с SOC, один TI-ориентирован, второй просит активы от клиента, а мы так вообще даём инстанс CMDB что бы в нем можно было вести данные. И не может нормальный SOC не хотеть знать активы - без этого непонятно какой инцидент критичен а какой нет
А я не знаю ни одного SOC который использует только одну модель. У всех гибрид: что-то заполнить (хоть в крупную клетку), что-то спросить и все в том или ином виде используют intelligence. Коммерческий или exit node Тора + FinCert - в зависимости от зрелости, задач и бюджета. Но ни разу не встречал обозначенной войны и разделения методологий
ВД
Sergey Soldatov
На пилоте можно проверить: 1) как сервис вписывается в существующую операционную модель и интегрируется технологически; 2) какова конечная ценность сервиса в конкретных условиях; 3) каковы требуемые инвестиции (ресурсные в т.ч.) со стороны заказчика. Поставщику пилоты позволяют развиваться, так как планы лучше брать из практики. В общем, Саша, извини, не могу с тобой согласиться, причем, что я пишу, по-моему, очевидно. Это же мы все об аутсорсинге говорим, а чтобы решиться на аутсорсинг для себя надо ответить на ряд вопросов (список этих вопросов здесь:
Вот на 200% соглашусь. История в первую очередь про совместную работу. Типизация очень помогает, но без "человеческого лица" имхо практически бессмысленно. А ещё коммерческие сервисы ИБ выше техподдержки - это про доверие и прозрачность. У нас заказчика регулярно ездят в выезды к нам в региональные офисы, чтобы просто в консоли инженеров, а не в регламенте понять как процесс устроен. И поверьте, не потому что мало документов
IP
Но нужны в любом случае руки )))
B
еще раз напишете "the hive" раздельно (подразумевая foss irp TheHive) и я начну убивать заложников %)
the hive, жду представления
B
В Д
А я не знаю ни одного SOC который использует только одну модель. У всех гибрид: что-то заполнить (хоть в крупную клетку), что-то спросить и все в том или ином виде используют intelligence. Коммерческий или exit node Тора + FinCert - в зависимости от зрелости, задач и бюджета. Но ни разу не встречал обозначенной войны и разделения методологий
Вопрос куда кренится гибрид, и это зависит от того где SOC создан. В целом, полагаю что Вы меня не поняли, возможно будет удобнее понять прочитав обзор SOC 2018, который я сдал в редакцию вчера. Если согласуют 24 тысячи знаков, конечно
B
В Д
Вот на 200% соглашусь. История в первую очередь про совместную работу. Типизация очень помогает, но без "человеческого лица" имхо практически бессмысленно. А ещё коммерческие сервисы ИБ выше техподдержки - это про доверие и прозрачность. У нас заказчика регулярно ездят в выезды к нам в региональные офисы, чтобы просто в консоли инженеров, а не в регламенте понять как процесс устроен. И поверьте, не потому что мало документов
Референсы отличная тема, но несколько иная чем пилоты
B
Рекомендую использовать в связке с Graylog
Спасибо, у нас порядка 20 foss компонентов используется, graylog мы сознательно не взяли
L
Аутсорсер имеет плохое представление об инфраструктуре скорее потому что ему пох, а не из-за отсутствия инструментов)
Согласен, все вопросы иб должны обрабатываться внутри
L
Референсы отличная тема, но несколько иная чем пилоты
Пилот всему голова
MN
А как пилотировать сок, мне кажется пилотировать можно техническое решение (сием) а не весь сок целиком, пусть даже коммерческий и с заявками на сервис. Я что-то не понимаю?
MN
Ещё можно Касперский пропилотировать
