Плюсую за последний абзац)

За последний это хорошо)

Магистерская работа по анализу угроз - SIEM
Этой весной я буду писать магистерскую диссертацию, и мне любопытно, есть ли у вас какие-либо советы по интересным темам в области анализа угроз или SIEM в целом. Это может быть какой-то конкретный анализ, исследование или дополнение к определенному  программному обеспечению (улучшит какую то функцию) или что-то еще, что, по вашему мнению, будет крутым и полезным. Я был бы признателен за всевозможные советы, даже если они не совсем подходят для магистерской диссертации, они все же могут привести к чему-то большему.

Может есть то что можно было улучшить или доработать, и какую новизну вы можете предложить.

Встрече сообщества — быть!

Она пройдет 20 Мая 2021 года в Москве, на конференции Positive Hack Days 10 [1].
На встрече прозвучат доклады о применении фреймворка ATT&CK [2] на практике по направлениям предотвращения, эмуляции, реагирования и обнаружения угроз компьютерной безопасности. Будет также доступна онлайн трансляция мероприятия.

Завершится встреча практикумом по разработке правил Sigma [3].

Хотите поделиться с сообществом своим опытом использования ATT&CK?
Подайте заявку [4] на участие в качестве спикера до 6 Мая!

[1] https://www.phdays.com/ru/
[2] https://attack.mitre.org/
[3] https://github.com/SigmaHQ/sigma/
[4] https://attack.community/cfp.html

Автоматическое обогащение и отображения контекста))

И в чем новизна ?

Ну если говорить про сработки на SIEM, то среди них определённая доля будет False Positive. Если в каждом событии будет не просто информация из лога СЗИ или аудита, а еще и определённый контекст, то это существенно снизит время разбора типовых инцидентов.
Есть ли готовые работающие решения по обогащению контекста сработок в SIEM?)

Ээээ, а SIEM сегодня не умеют в rule chain учитывать данные из TIP и других систем, отдающих контекст?

Вопрос про какие SIEM? Зарубежные могут много больше, отечественные соответственно меньше. Если писать про доработку функционала отечественных SIEM, можно сильно не заморачиваться, посмотреть что могут сейчас зарубежные, заглянуть в их roadmap, и вуаля, готовый материал

Если про доработку топовых SIEM, то тягаться с лучшими мировыми умами довольно амбициозная задача

Можно рассмотреть расширение функционала за счёт смежных систем, например IRP и SM, такой гибридный вариант подойдёт для малых организаций

Во-первых это: не было указано конкретное понимание SIEM (только ли нормализация и корреляция или ещё и обогащение) и какие функции там есть "из коробки". К примеру, качество интеграции с другими системами зависит от рук инженера внедрения и многое может потребовать доработки.
А во-вторых, с учётом того, что был вопрос про исследовательскую часть, то этот раздел можно поисследовать. Безусловно, интеграция с TIP, системами учёта ИТ-ресурсов уже есть и это работает.
Но можно аналитику SOC помочь обрабатывать всю информацию целиком для вынесения вердикта, ведь получение контекста и анализ могут дополнить друг друга)
Например, мы получили сработку, поняли, где именно она произошла. Добавление какой-то дополнительной логики даст ли сокращение времени на реакцию, если да, то насколько? И какая логика должна быть?
На мой взгляд, эти вопросы можно поисследовать.

Если никто ничего путного не предложит спроси в чатике МП сиема. Там наверняка кому-то из заказчиков что-то нибудь да горит очень.

В целом функционал SIEM довольно универсальный, позволяет работать с любыми входными данными, Писать любые правила корреляции. Качество работы будет сильно зависеть от источников, их настройки, склада ума и опыта аналитика пишущего правила. Можно конечно предложить универсальное решение, прикрутить ML и BigData, по-моему сейчас ко всему подходит😀

Вы забыли добавить AI, ML - это вчерашний день)))

Базовое обогащение (репутация индикаторов, информация из систем инвентаризации, AD и т.п) можно делать на уровне SIEM, конечно, но более серьезные вещи (интеграция с песочницами, user-centric triage, дорогие/платные источники threat intelligence и так далее) удобнее и практичнее делать уже в SOAR

Я бы поспорил, но не стану, не тот чат😀 да и в инете много инфы по этому поводу уже написано

Не воспринимайте всерьёз, это была шутка)
Надо бы еще блокчейн добавить, но SIEM на блокчейне звучит странно...

Он оттуда и пришел(
Его сюда отправили

Как вариант развить тему написания контента для siem, в каком то узком направлении. Например проанализировать типовые источники на среднестатистическом предприятии, и расписать максимально возможное количество сценариев на имеющихся источниках, включая нестандартные, до которых крайне редко руки доходят, например сценарии на netflow. Или сценарии для промышленных предприятий с множеством технологических процессов, соответственно АСУТП. Или SIEM в применении провайдером интернет, с кучей сетевого оборудования и домашних роутеров, в контексте обеспечения не только доступа в интернет, но и обеспечении его безопасности (понимаю, что это никому не нужно, но написать то об этом можно😀). Тут что проще и ближе.