I
Добрый день, коллеги.
Подскажите, где можно найти примеры сценариев реагирования на инциденты?
Подскажите, где можно найти примеры сценариев реагирования на инциденты?
Size: a a a
2021 April 16
I
Наверняка есть best practices. Не хочется изобретать велосипед
I
Спасибо!
N
Оперативно пост вышел 😂
N
Немного примеров сценариев реагирования на инциденты от участников https://t.me/phd_soc :
https://github.com/certsocietegenerale/IRM
https://www.incidentresponse.com/playbooks/
https://github.com/certsocietegenerale/IRM
https://www.incidentresponse.com/playbooks/
$
Пока руки свободны :)
VK
Вопрос на засыпку. Если представить процесс сбора, обработки, обогащения TI (по аналогии с процессом обеспечения жизненного цикла инцидентов ИБ) ... Кто какие системы учета использует для этого. Я имею ввиду не куда кладется результат а именно обеспечение процессов и учета работ TI команды и жизненного цикла TI до момента когда ее начинает использовать SOC например.
NA
Если вы используете TIP, то вы принимаете те процессы работы с TI, что там заложены. Если нет, или строите что-то еще рядом (или свое), то вопрос релевантен.
NA
Я строил все свое на Apache Nifi + Clickhouse + Redis + всякие Intel hyperscan. Жизненный цикл индикаторов создавался исходя из опыта и того что видел в процессе работы этой платформы.
VK
Спасибо!
VK
Еще есть варианты?
2021 April 19
АК
У некоторых это "живет" в КВ-системах, есть кейсы - в IRP-системах.
Но так как системы нецелевые под обеспечение жизненного цикла TI-данных, то вокруг них возникает всевозможная скриптовая или т.п. обвязка.
Но так как системы нецелевые под обеспечение жизненного цикла TI-данных, то вокруг них возникает всевозможная скриптовая или т.п. обвязка.
DD
Как вариант, действительно использовать какую-нибудь тикетинговую систему в IRP, по типу theHive.
Но это не есть best practices :)
Но это не есть best practices :)
VK
Спасибо за ответы. Думаю лет через 5 будут и best practices ))
2021 April 20
IB
Николай, а можно подробнее узнать о решении? Может статья была или выступление?)
NA
Привет
Можем просто собраться в конфколле и я все расскажу
Можем просто собраться в конфколле и я все расскажу
NA
Думаю, так будет проще всего
NA
Статьи не было пока )