bc
Если вы все отловили и расследовали, то по итогу рождается Incident Report
Size: a a a
2018 December 11
bc
Все, точка. Можете его в Knowledge Base засунуть
bc
Все, что позже - это новые события и новые инциденты
r
инциденты - подмножество множества событий, ок? Так можно?
r
не суть, хотим описать интересные для нас события
bc
Ну можете это назвать "Вектором", "Сценарием" или "Корреляцией"
bc
Кто-то это цепочками называет
r
Условно, у каждого из элемнтов дашборда (например который на скриншоте), должно же быть описание. Иначе если отвественный сотрудник уходит, надо долбаться с SIEM системой, чтобы понять как он это строил.
bc
Если у вас ответсвенный сотрудник уходит и вам надо долбаться с СИЕМом то у меня для вас плохие новости
bc
Есть документы, регламентирующие работу SOCа, там собственно и написано за какими инждикаторами надо смотреть
r
спасибо, кэп:)
bc
Да не за что
bc
Вам чего нужно то? Набор корреляций для образаца?
r
Ну чтобы добить вопрос.. Как называется документ, который описывает конкретный отчёт внутри дэшборда? Например вот такой..
r
Похоже это называется Use Case (в терминологии McAfee), только что отыскал, вопрос закрыт.
r
To ensure the SOC is effective, a series of Use Cases must be defined. The term “Use Cases” may
be a little misleading—think of them as events that require SOC intervention and/or monitoring.
For instance, a repeat attack from a single source is a Use Case.
be a little misleading—think of them as events that require SOC intervention and/or monitoring.
For instance, a repeat attack from a single source is a Use Case.
С
Инцидент можно определять через необходимость реагировать и расследовать. Ещё можно попробовать через ущерб - нанесён или нет, т.е. угроза была реализована или не была.