Лидеры форума

Приветствую. В последнее время много слышу про SIEM. То ли я отстал, то ли на самом деле новый тренд это какой то.. Почитал немного про это, но все равно пока не увижу в деле, не пойму все дела. Может у вас есть какие то видеокурсы/презентации, где можно нормально ознакомится с этой системой?

У нас есть хорошая статья на эту тему https://www.anti-malware.ru/analytics/Technology_Analysis/Overview_SECURITY_systems_global_and_Russian_market Если говорить очень кратко, то SIEM-системы предназначены для сбора данных о событиях (отчетов из разных систем, логов проще говоря) из самых разных систем и их обработки (поиска подозрительных цепочек событий, аномалий и тп). Правила корреляции настраиваются индивидуально, в этом состоит основная интеллектуальная работа. В результате можно увидеть инциденты ИБ, которые никак иначе на уровне отдельных систем не видно. Таким образом, SIEM становится одним из инструментов обнаружения сложных видов атак, включая целевые атаки. Злоумышленники всегда хорошо изучают потенциальную жертву для целевой атаки. И штатные средства типа антивируса, фаервола, IPS и тп будут пробиты. А если даже какая-то активность и будет замечено, то общей картинки это не даст. Помимо этого SIEM-системы используются в качестве центрального элемента практически любого SOC (оперативных центров опеспечения информационной безопасности), которые массово строятся в крупнейших компаниях. SOC скоро будут почти везде, это требования ЦБ для FinCert и ФСБ для ГосСОПКА. Поэтому SIEM-системы нужно изучать очень внимально.

В любом случае если будет автомат, то он будет опцией. Я вижу это примерно так: 1. возможность сделать и прислать карантин как сейчас (что хорошо например при недоступности Инет на том ПК, на котором собираются карантины ... или например если опытный специалист хочет сам вручную или скриптом что-то закарантинить и отправить карантин на анализ) 2. В качестве альтернативы будет некий автомат, который выполнит п.п. 1 автоматически. Техничски это EXE, который проверит связь с Инет, запустит AVZ с необходимыми параметрами для сбора карантина, дождется формирования архива, отправит его с контролем успешности отправки, и выдаст пользователю квитанцию об успешности операции... по ходу показывая прогресс-индекатор и понятное пользователю описание того, что делается в текущий момент. Плюс всякие опциональные фишки типа отправки емейла вместе с карантином (как сейчас в форме на сайте - чтобы сервису было куда слать рапорт о завершении анализа), или например создание на рабочем столе ярлыка со ссылкой на результат анализа (как альтернатива указанию емейла), или например запись в реестр или в некий INI/XML данных об отправленных карантинах, чтобы пто можно было быстро открывать результаты их анализа в браузере. Такие фичи могут выбираться чекбоксиками или запускаться отдельными кнопками после выполнения основных операций. ege.org.ru ege.net.ru

DDos прям болезнь нашего времени, ддосят уже всё, даже глобальных локализаторов. По этому даже интернет магазины стараются прибегать к услугам администрирования серверов. Если команда специалистов всегда на контроле, ущерб от атаки минимален.