Бигдатое машинное обучение жеж всех спасет

SIEM регистрирует алерты. Смотрящий за SIEMом (в SOCе - первая линия SOC) отбрасывает FP, по оставшимся алертам зовет кого-то более компетентного. Необходимый минимум уже зарегистрирован в SIEM, заводить дополнительную бюрократию не вижу смысла.

Если оказалось, что алерт действительно связан с атакой - реагируем на действия атакующего. В идеале давим его, не дав развернуться и рисуем звездочку на фезюляже. Для лучшей лучшести можно задокументировать кейс, если они относительно редки.

Если облажались и атакующий начал вмешиваться в работу систем - это инцидент. Заводим карточку инцидента и начинаем на него реагировать. Если облажались по полной, то карточку к этому моменту заведут без нас :)

Просто реагирование на атаки и на инциденты совсем разное, поэтому дублирования не будет. Когда начинается второе, первое уже становится неактуальным.

Нету первой линии 2 бойца в окопе)

Первая линия - это SOCовский жаргонизм. Кто-то же должен с алертами разбираться :)

Эшелон запустил канал по сканеру-вс  @scaner_vs и чат

Обещают best practices

Регулятор и в чатике сидит тоже. Но молча 😊

Мягко говоря ситуация с тем, как будут проверяться инциденты вообще непонятна. Надзорным органом является ФСТЭК, которая уполномчена проверять только выполнение вами требований по защите ЗОКИИ. А вот реагировать на инциденты вроде и некому. ФСБ может только принять сообщение об инциденте и все - инициировать проверки она не уполномочена. Остается еще прокуратура, но она темная лошадка в этом вопросе

Когда в чатике человек 💯, все в курсе Ху из кто) а когда почти 2К, остаётся догадыаться только) а вообще более чем уверен в этом ;)

вот много пром предприятий где управление рисками вообще существует?

А ещё могут ненавязчиво попросить пригласить :)