SecOps
О необходимости регулярного пересмотра метрик в SOC
0110
Расскажу историю. Проводим мы тут аудит одного SOCа и в рамках выполняемых работ есть у нас задача проверки и выработки рекомендаций по улучшению системы показателей эффективности SOC (метрик), дашбордов, отчетности и вот этого вот всего. В процессе воркшопа, в рамках которого мы выясняем детали реализации процесса изменения эффективности, руководитель SOC делится своей болью.
Бизнес без опасности
SecOps
13 советов, от которых зависит успешность вашего SOC (презентация)
066
Продолжаю публиковать ранее невыкладываемые материалы с «Кода ИБ». На этот раз это будет презентация «13 советов, от которых зависит успешность вашего SOC», которую я читал в апреле 2019 года, то есть более года назад. Хочу отметить, что вчерашняя презентация про Threat Intelligence читалась мной 2,5 года назад и сегодня на нее смотришь немного иначе, чем […
Бизнес без опасности
Обучение
Опыт обучения на курсах по SOCам
4105
Упомянул вчера про прохождение курса по SOCам (для тех, кто думает, что SoC — это System-on-Chip, сообщаю, что это Security Operations Center) и хочу поделиться некоторыми впечатлениями. Начну с того, что когда речь заходит об обучении по SOCам, нет ни одного курса, который бы закрыл все потребности в этой части, как нет человека, который в […]
Бизнес без опасности
SecOps
Три статьи про SOCи — обзор 40 российских SOCов, измерение эффективности и SOC на удаленке
0108
Как-то кучно зашло… Первая статья посвящена теме измерения эффективности SOC, метрикам и т.п. Она получилась достаточно объемной и поэтому редакция «Information Security» решила разделить ее на две части. Пока опубликована первая часть, в которой я рассмотрел различные временные метрики, используемые в SOC.
Бизнес без опасности
SecOps
О дашбордах для SOC — часть 4. Инциденты и тикеты
0205
А мы продолжаем про дашборды в SOCах 🙂 Мне тут в одном чатике по SOCам задали ожидаемый вопрос, почему я расписываю дашборды про мало кому интересный аспект деятельности центра мониторинга, то есть людей, их квалификацию, компетенции (я, кстати, про дашборд о компетенциях еще не писал, но видать уже и не буду) и желание работать в […]
Бизнес без опасности
SecOps
О дашбордах для SOC — часть 3. Контроль обучения
072
По прошлой заметке, посвященной дашборду оценки персонала в SOC, в одном из закрытых чатиков по SOCам возник вопрос относительно верхнего крайнего правого прямоугольника (KPI) с показателем по обучению. Мол, он не был раскрыт на дашборде кроме последнего блока по квалификации аналитиков разных подразделений SOC. Это действительно так, потому что в заметке
Бизнес без опасности
SecOps
О дашбордах для SOC — часть 2. Кадровый вопрос
3119
Продолжим про дашборды в SOC и посмотрим на достаточно редкий пример, а точнее на кадровой вопрос SOC. Вспомним вчерашнюю заметку. Дашборд — это представление информации, которое необходимо для быстрого взгляда на ситуацию с целью подсвечивая как слабых, так и сильных сторон рассматриваемого вопроса. В случае с кадрами, что может интересовать
Бизнес без опасности
SecOps
О дашбордах для SOC
094
Да, опять 🙂 Вообще эта заметка должна была быть опубликована на Хабре. Но я там уже недавно публиковал одну заметку про SOC на удаленке и не могу сказать, что она была воспринята положительно. Хотя и отрицательных отзывов тоже не было. Скорее, она оказалась не в формате Хабра, так как в ней не было «техники», а скорее […]
Бизнес без опасности
SecOps
В аутсорсинговых SOC не бывает квалифицированных кадров!
633
«В нашем SOC работает высококвалифицированный персонал…». Примерно такие фразы можно встретить в рекламе чуть ли не каждого российского SOCа, предлагающего свои услуги заказчикам, задумывающимся о том, как выполнять требования законодательства по КИИ или нормативных актов Банка России, требующих незамедлительного оповещения регулятора об инцидентах.
Бизнес без опасности
SecOps
7 сценариев, когда в организации используются 2 разных SIEM
083
В чатике про SOCи зашла тут дискуссия на тему, может ли, и если да, то зачем, использовать SOC два разных SIEM (именно SIEM, а не SIEM и LM или SIEM и UEBA). Вынесу я эту тему в блог, чтобы не забылась она и не затерялась. Я сталкивался с такими ситуациями не раз и поэтому не […]
Бизнес без опасности