Рубрика «SIEM»

в 5:15, , рубрики: devops, hids, security-monitoring, SIEM, SoC, wazuh, wazuh-agent, wazuh-manager

Привет, я Devops-инженер в сфере ЖКХ, нами пользуется сейчас больше 8 000 юрлиц. У нас большой парк машин (более двух сотен), и вручную создавать правила и CDB-списки для каждого агента Wazuh и поддерживать их — просто очень сложно. Поэтому мы автоматизировали генерацию пер-агентных списков и правил и их доставку в Wazuh Manager.

Под "пер-агентными" далее я имею в виду:

  • CDB-списки и правила, уникальные для конкретного Wazuh-агента;

  • управляемые централизованно с менеджера;

  • но логически привязанные к одному хосту.

Зачем это надо

Читать полностью »

в 15:16, , рубрики: Cortex, IRIS, irp, MISP, n8n, R-Vision, SIEM, soar, SoC, информационная безопасность

Привет. Меня зовут Андрей Урывко, я инженер ИБ в Всеинструменты.ру.

За несколько месяцев эксплуатации Wazuh мы упёрлись в классическую для небольших отделов мониторинга проблему: рост числа алертов при отсутствии ресурсов на их обработку. При 150–200 оповещениях в день и одном инженере в штате значительная часть времени уходила на ручную проверку однотипных сработок, а развитие инфраструктуры фактически остановилось.

В этой статье я расскажу, как мы перешли с Wazuh на R-Vision SIEM, а затем построили цепочку автоматизации обработки алертов с использованием IRIS (case management), Cortex, MISP и n8n.

Читать полностью »

в 8:15, , рубрики: selectel, SIEM, информационная безопасность
Как интегрировать аудит-логи с SIEM: от теории к практике на Wazuh и RuSIEM - 1

Недавно мы в Selectel запустили систему аудит-логовЧитать полностью »

в 8:00, , рубрики: selectel, SIEM, SoC, аудит, ИБ, информационная безопасность, логи, серверы

в 15:22, , рубрики: AI, ai-ассистент, ml, sdl, SIEM, soar, ИБ, ИИ, ИИ и машинное обучение, информационная безопасность

в 16:27, , рубрики: alerts, SIEM, wazuh, Арерты, Декодеры

Привет, защитники! 🚨 На канале Pensecfort я начал цикл про создание алертов в Wazuh, и в этой статье, мы разберём декодеры — ключевой компонент для обработки логов. Вы узнаете, как они работают, какие поля использовать и как выбрать правильный <type> для логов. Это подробное руководство для тех, кто хочет настроить Wazuh под свои задачи!

Что такое декодеры и их роль в Wazuh

Декодеры в Wazuh — это XML-описания, которые парсят сырые логи от агентов или устройств и извлекают структурированные данные: IP-адреса, пользователей, действия и т.д. Без декодеров Wazuh не поймёт, что, например, лог:

Читать полностью »

в 9:46, , рубрики: analytics, cybersecurity, ozon tech, SIEM, SoC, ИБ, информационная безопасность

Привет! Меня зовут Кермен, я — аналитик на второй линии SOC. Наша команда исследует данные от инфраструктуры и сервисов Ozon для выявления нелегитимной активности: от нарушения политик информационной безопасности до целенаправленных атак.

Читать полностью »

в 9:06, , рубрики: c++, dsl, LLVM, SIEM, webassembly, xp, библиотеки, высокая производительность, Компиляторы, языки программирования
Уильям Фрайт Пауэлл. Бедность и богатство [1888]. (модифицированная)

Уильям Фрайт Пауэлл. Бедность и богатство [1888]. (модифицированная)

Всем привет! Сейчас за окном осенние деньки 2024 года. Вещает Пройдаков Евгений. Сейчас я руковожу группой разработки среды исполнения языка eXtraction and Processing в R&D департаменте Positive Technologies.

Читать полностью »

в 10:06, , рубрики: api, application security, asoc, SIEM, SoC, waf, web application firewall, web security, информационная безопасность, кибербезопасность

Преимущества интеграции SOC и WAF для мониторинга API

Здесь бы хотелось рассказать, как быть с событиями которые показывают аномалии в API и как использовать эти события при интеграции с SIEM-системами. Тут мы с Сергеем попробовали разобрать наиболее частые вариации. Но если у вас есть свои примеры – добро пожаловать в комментарии!

Основные полезности, для условной 1-й линии SOC можно распределить на 2 группы:

Мониторинг API-активности. Читать полностью »

в 7:02, , рубрики: SIEM, автоматизация, безопасность, Блог компании ТЕХНОСЕРВ, информационная безопасность, информация, инцидент, Платформа, поддержка, пользователь

Представьте себе обычный ситуационный центр по ИБ в крупной компании. В идеальном мире софт детектирует подозрительную активность, и команда «белых хакеров» начинает стучать руками по клавиатуре. И так происходит раз в месяц.

В реальном мире это сотни ложноположительных срабатываний и усталые сотрудники поддержки. Они вынуждены разбираться с каждым инцидентом, когда пользователь забыл пароль, не может скачать игру с торрента, очередной порнофильм в формате *.exe, смотреть за сбоями Сети и вообще расследовать множество ситуаций.

SIEM-системы помогают систематизировать и коррелировать события от источников. И генерируют срабатывания, с каждым из которых нужно разбираться. Из этих «каждых» большая часть — ложные. Можно подойти к вопросу и с другой стороны, заведя скрипты на обработку тревог. Каждый раз, когда что-то срабатывает, хорошо было бы иметь не просто причину тревоги, а потом лезть за разными данными в четыре-пять систем, а сразу автоматически собирать весь диагноз.

Платформа автоматизированного реагирования на инциденты ИБ - 1

Мы сделали такую надстройку, и это очень помогло снизить нагрузку на операторов. Потому что сразу запускаются скрипты сбора информации, и если есть типовые действия — они сразу же предпринимаются. То есть, если завести систему «в такой ситуации делаем так и так», то карточка будет открываться для оператора с уже проработанной ситуацией. Читать полностью »

123...4
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js