Тэги же тут имеют такое же значение, как и в других областях. Помечать информацию, для последующего быстрого группирования. Кому-то удобно этим пользоваться, кому-то нет. Скорее дело привычки и в при наличии развитых механизмов поиска (по всему содержимому) не сильно критично их отсутствие. Можно пометки делать и особым образом записывая названия

классическая группировка по почти любым полям инцидента + возможность добавлять комментарии должны решить большую часть проблем, которую возлагают на теги... на мой взгляд.

Коллеги, кто уже из вас обменивается IOC?

У нас есть несколько информационных обменов

Чёт не пойму, а нафиг ему логи?)))

там иногда пользователи вместо логинов вводят пароли. easy money

так ведь узнать почему дом сгорел, не?

Эта версия мне нравится))))

Добрый день! Может кто прислать описание тех процессов для ФСТЭК а

Тех процессов чего? Сока?

Да

А ФСТЭКу оно зачем? Для пункта "в" ТЗКИ не смотрят такое.

У нас посмотрели, теперь хотят

Это довольно дорогая штука, миллионы стоит на самом деле

плюсую.
Маловероятно что в интернете найдутся те, кто захотят в чятиках ДСПшные доки сливать

Правда можем дать направление.  К примеру я выделяю в soc Основной операционный процесс с четырьмя подпроцессами - киберразведка, мониторинг, расследования и реагирование. Дальше в принципе можно найти на буржуйском соотв. регламенты или whitepapers и перевести, особенно sans богат на такую макулатуру. Можно отталкиваться от того самлго документа ФСБ по сопке (методические рекомендации), там в сущности перечислено все то что я написал выше только более дробно и более государственным языком.

Кроме sans есть док mitre, есть soc cmm, есть годные материалы securosis о network security operations (где-то в ветке про измерение ИБ),

В целях "отдать что нибудь в фстэк" может прокатить, не пытайтесь внедрять на реальных инфраструктурах без адаптации;)