SOC

Прошло 6 лет с моего выступления с темой «L1 в SOC не нужен» и я подумал, что можно вновь вернуться к теме разделения аналитиков SOC на уровни L1-L3. Оно преподносится как частая модель работы аналитиков в Security Operations Center (SOC), где выделяются аналитики трех уровней. Однако, такой подход на практике реализуется далеко не всегда. Нередко […

Позволю себе вернуться к предыдущей заметке про отчет Gartner по SecOps, в которой я написал, что SOAR умерли. И кажется мне, что надо дать пояснения, почему я так написал. Мне довелось немножко, совсем немножко :-), работать с Demisto до покупки его Palo Alto, с Phantom до покупки его Splunk, с FortiSOAR уже после покупки CyberSponse […]

29 июля Gartner выпустил свой очередной отчет по технологиям, используемым для повседневных операций ИБ (Hype Cycle for Security Operations, 2024). Документ большой, на полтора часа чтения, и описывает видение аналитиков одного из мировых лидеров в области анализа технологических тенденций, включая и вопросы кибербезопасности.

Как-то ко мне пришел представитель одного отечественного учебного центра и попросил разработать для них курс по SOCам длительностью 8 часов. Я тогда отказался, так как считаю, что за такой период времени обучиться по этой теме невозможно. Когда я работал в Cisco и отвечал за тему SOCов (проектировал, аудировал, продвигал аутсорсинговые, разрабатывал модели монетизации и т.

Хочется ли вам, чтобы покупаемые вами продукты были результативными? Наверное, да. Всегда хочется похвастаться тем, что используемое решение дает некий результат, а значит мы не сделали ошибки, выбрав то или иное решение; Даже если оно бесплатное и open source. Но что такое результативность продукта? В чем она измеряется. Я тут готовился к выступлению, где как […

Написал я в ноябре заметку о том, как выбирать/приоритизировать события ИБ, на которые надо реагировать в SOC в первую очередь. Это был один из возможных вариантов, с которым я сталкивался в свое время. Эта заметка вызвала совсем небольшое обсуждение в одном SOCовском чатике и в ответ на мою заметку Сергей Солдатов свою. Я подумал, что […]

Помню, проходил я несколько лет назад стажировку в одном SOC, и в первый же день я задал коллегам сакраментальный вопрос — а как вы выбираете, на какие сигналы от SIEM/EDR/NTA/NDR реагировать, а какие можно отложить «на потом»? Ведь при миллионах и миллиардах событий безопасности, которые детектируют различные сенсоры и «

Думаю, многие из вас если не знакомы с законом Гудхарта, то слышали его в переложении или сталкивались на практике с его проявлениями. Звучит он следующим образом: Наблюдение Гудхарта базировалось на том, что любая мера, становящаяся целью, становится объектом манипуляций; как прямых (фальсификация чисел), так и косвенных (активность исключительно ради

Поговорив позавчера про структуру затрат на услуги коммерческих SOCов, сегодня я бы хотел обратиться к теме их монетизации и лицензирования (но лицензирования не в контексте ФСТЭК или ФСБ). Эта заметка больше будет интересна для тех, кто строит свой SOC и хочет на нем зарабатывать, но так как таких компаний становится все больше, аудитория у поста […]

Так как из программы SOC Forum меня генеральный партнер мероприятия выкинул, то устрою свой, онлайн SOC Forum в блоге. Буду всю неделю что-нибудь писать по этой теме и начну с обзора своей презентации по тенденциям систем мониторинга, регистрации и анализа событий ИБ, которые можно было бы назвать общепринятой аббревиатурой SIEM, а можно было бы использовать […