AL
Тимур говорил о процессах SOC - IR, LM и др. А это прекрасно реализуется на лабах. А на курсах по построению SOC (если брать SANS) для менеджеров hands-on’ов тоже было немало - по 3-5 в день
Size: a a a
2021 February 19
K
Давай я переформулирую иначе, что б ты не триггерился в ночи: на мой взгляд, построение SOC - менеджерская и административная задача. Технические аспекты анализа логов или IR там могут быть излишними, потому, что приведут к размыванию темы.
K
И я явно написал «построение SOC».
AL
У меня не ночь ;-)
K
Триггериться тебе это не мешает. :)
AL
Условный менеджер должен понимать стек своего SOC, чтобв его подчиненные не на...ли
y
> Интересуют не forensic и TI, а именно security operations, incident response
занятно %)
forensics — это часть IR.
TI — это ключевое направление для security operations.
будет намного проще сориентироваться и ответить если вы опишете какие процессы/сервисы собираетесь реализовать в своем SOC.
> отправить учиться условного SOC менеджера
цель "отправить кого-то учиться на SOC менеджера" изначально вызывает вопросы %)
в частности, касательно его обязанностей. будет намного проще сориентироваться если вы детальнее опишете круг необходимых (на выходе) компетенций
занятно %)
forensics — это часть IR.
TI — это ключевое направление для security operations.
будет намного проще сориентироваться и ответить если вы опишете какие процессы/сервисы собираетесь реализовать в своем SOC.
> отправить учиться условного SOC менеджера
цель "отправить кого-то учиться на SOC менеджера" изначально вызывает вопросы %)
в частности, касательно его обязанностей. будет намного проще сориентироваться если вы детальнее опишете круг необходимых (на выходе) компетенций
y
> Интересуют не forensic и TI, а именно security operations, incident response
занятно %)
forensics — это часть IR.
TI — это ключевое направление для security operations.
будет намного проще сориентироваться и ответить если вы опишете какие процессы/сервисы собираетесь реализовать в своем SOC.
> отправить учиться условного SOC менеджера
цель "отправить кого-то учиться на SOC менеджера" изначально вызывает вопросы %)
в частности, касательно его обязанностей. будет намного проще сориентироваться если вы детальнее опишете круг необходимых (на выходе) компетенций
занятно %)
forensics — это часть IR.
TI — это ключевое направление для security operations.
будет намного проще сориентироваться и ответить если вы опишете какие процессы/сервисы собираетесь реализовать в своем SOC.
> отправить учиться условного SOC менеджера
цель "отправить кого-то учиться на SOC менеджера" изначально вызывает вопросы %)
в частности, касательно его обязанностей. будет намного проще сориентироваться если вы детальнее опишете круг необходимых (на выходе) компетенций
Т
> Интересуют не forensic и TI, а именно security operations, incident response
занятно %)
forensics — это часть IR.
TI — это ключевое направление для security operations.
будет намного проще сориентироваться и ответить если вы опишете какие процессы/сервисы собираетесь реализовать в своем SOC.
> отправить учиться условного SOC менеджера
цель "отправить кого-то учиться на SOC менеджера" изначально вызывает вопросы %)
в частности, касательно его обязанностей. будет намного проще сориентироваться если вы детальнее опишете круг необходимых (на выходе) компетенций
занятно %)
forensics — это часть IR.
TI — это ключевое направление для security operations.
будет намного проще сориентироваться и ответить если вы опишете какие процессы/сервисы собираетесь реализовать в своем SOC.
> отправить учиться условного SOC менеджера
цель "отправить кого-то учиться на SOC менеджера" изначально вызывает вопросы %)
в частности, касательно его обязанностей. будет намного проще сориентироваться если вы детальнее опишете круг необходимых (на выходе) компетенций
forensic и TI - вынесены за скобки, потому что это отдельные компетенции, которые можно рассматривать обособленно, а ещё лучше отдать на аутсорс Теймуру. В любом случае 99.9% случаев подозрений на инцидент обрабатываются без форензики. TI - это вообще отдельная тема, которую каждый понимает как умеет.
А вот как построить, масштабировать и развивать SOC - это тайные знания с множеством подводных камней. Каждый строит как умеет, и в половине случаев получается полная хрень. Я сейчас про многие in-house и почти все интеграторские SOC.
Цель - не научить менеджера с нуля, а систематизировать его знания, расширить/углубить знания по вышеобозначенным процессам, ознакомить с лучшими практиками. Подразумевается менеджер из in-house SOC на 5-10 человек.
А вот как построить, масштабировать и развивать SOC - это тайные знания с множеством подводных камней. Каждый строит как умеет, и в половине случаев получается полная хрень. Я сейчас про многие in-house и почти все интеграторские SOC.
Цель - не научить менеджера с нуля, а систематизировать его знания, расширить/углубить знания по вышеобозначенным процессам, ознакомить с лучшими практиками. Подразумевается менеджер из in-house SOC на 5-10 человек.
y
вы знаете, либо на меня влияет поздний час, либо что, но ваш ответ все равно оставляет мои уточняющие вопросы открытыми
K
Alexey Lukatsky
Условный менеджер должен понимать стек своего SOC, чтобв его подчиненные не на...ли
Может, и должен. Но это никак не относится к курсам по построению SOC. Это разные области знаний.
Впрочем, хрен с ним. Ты явно поспорить хочешь, а не услышать.
Есть книжка, https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf, она неплохая. Полезна при построении SOC, в том числе, как способ систематизировать знания.
Впрочем, хрен с ним. Ты явно поспорить хочешь, а не услышать.
Есть книжка, https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf, она неплохая. Полезна при построении SOC, в том числе, как способ систематизировать знания.
Z
Реально интересный вопрос подняли. Куда кроме как в SANS можно отправить учиться условного SOC менеджера?
Интересуют не forensic и TI, а именно security operations, incident response, log management и т.п.
Интересуют не forensic и TI, а именно security operations, incident response, log management и т.п.
Кажется никуда, самообразование ?
Т
Может, и должен. Но это никак не относится к курсам по построению SOC. Это разные области знаний.
Впрочем, хрен с ним. Ты явно поспорить хочешь, а не услышать.
Есть книжка, https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf, она неплохая. Полезна при построении SOC, в том числе, как способ систематизировать знания.
Впрочем, хрен с ним. Ты явно поспорить хочешь, а не услышать.
Есть книжка, https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf, она неплохая. Полезна при построении SOC, в том числе, как способ систематизировать знания.
Книжка может и хорошая, но я не нашёл в ней ответы на многие интересующие меня вопросы:
1) Регулярный мониторинг логов (количественный и качественный). Кто ни будь замерял, на сколько деградируют логи после 3-4 лет эксплуатации SOC? Я замерял - процент мне не понравился. Хотелось бы получить рекомендации от тренера и коллег.
2) Автоматическое реагирование - кто где и как применяет? Какие лучшие практики? Мне не хотелось бы заблочить половину сотрудников из-за фолза. Или разорвать все VPN сессии. Или запустить AV сканирование на тысячях машин в разгар рабочего дня.
3) Как предотвратить эмоциональное выгорание аналитиков при мониторинге десятков подозрений на инцидент в день. Как оптимально организовать смены, чтобы у аналитиков не замыливался глаз. Нормально ли совмещать в одной роли аналитика по SOC и аналитика по DLP?
И много ещё вопросов, ответы на которые не описаны в книге, но на которые ответ можно найти на курсах и в дискуссии.
1) Регулярный мониторинг логов (количественный и качественный). Кто ни будь замерял, на сколько деградируют логи после 3-4 лет эксплуатации SOC? Я замерял - процент мне не понравился. Хотелось бы получить рекомендации от тренера и коллег.
2) Автоматическое реагирование - кто где и как применяет? Какие лучшие практики? Мне не хотелось бы заблочить половину сотрудников из-за фолза. Или разорвать все VPN сессии. Или запустить AV сканирование на тысячях машин в разгар рабочего дня.
3) Как предотвратить эмоциональное выгорание аналитиков при мониторинге десятков подозрений на инцидент в день. Как оптимально организовать смены, чтобы у аналитиков не замыливался глаз. Нормально ли совмещать в одной роли аналитика по SOC и аналитика по DLP?
И много ещё вопросов, ответы на которые не описаны в книге, но на которые ответ можно найти на курсах и в дискуссии.
Z
Alexey Lukatsky
Условный менеджер должен понимать стек своего SOC, чтобв его подчиненные не на...ли
Чтобы он хотя бы работал, строители без знаний в том что они строят это страшно:)
AL
Книжка может и хорошая, но я не нашёл в ней ответы на многие интересующие меня вопросы:
1) Регулярный мониторинг логов (количественный и качественный). Кто ни будь замерял, на сколько деградируют логи после 3-4 лет эксплуатации SOC? Я замерял - процент мне не понравился. Хотелось бы получить рекомендации от тренера и коллег.
2) Автоматическое реагирование - кто где и как применяет? Какие лучшие практики? Мне не хотелось бы заблочить половину сотрудников из-за фолза. Или разорвать все VPN сессии. Или запустить AV сканирование на тысячях машин в разгар рабочего дня.
3) Как предотвратить эмоциональное выгорание аналитиков при мониторинге десятков подозрений на инцидент в день. Как оптимально организовать смены, чтобы у аналитиков не замыливался глаз. Нормально ли совмещать в одной роли аналитика по SOC и аналитика по DLP?
И много ещё вопросов, ответы на которые не описаны в книге, но на которые ответ можно найти на курсах и в дискуссии.
1) Регулярный мониторинг логов (количественный и качественный). Кто ни будь замерял, на сколько деградируют логи после 3-4 лет эксплуатации SOC? Я замерял - процент мне не понравился. Хотелось бы получить рекомендации от тренера и коллег.
2) Автоматическое реагирование - кто где и как применяет? Какие лучшие практики? Мне не хотелось бы заблочить половину сотрудников из-за фолза. Или разорвать все VPN сессии. Или запустить AV сканирование на тысячях машин в разгар рабочего дня.
3) Как предотвратить эмоциональное выгорание аналитиков при мониторинге десятков подозрений на инцидент в день. Как оптимально организовать смены, чтобы у аналитиков не замыливался глаз. Нормально ли совмещать в одной роли аналитика по SOC и аналитика по DLP?
И много ещё вопросов, ответы на которые не описаны в книге, но на которые ответ можно найти на курсах и в дискуссии.
А этому не научат на курсах ;-( Это уже общение с теми, у кого SOC годами функционирует. На том же SOCstock про выгорание было очень много, но у всех разные советы. Кто-то вывозит сотрудников на тим-биллинги, кто-то программу ротации задействует, чтобы условный аналитик L1 посидел в кресле хантера или тиайщика. У кого-то есть штатный психолог. Но после долгой дискуссии менеджеры разных SOCов в итоге говорят: «Но да, проблема существует, и мы не знаем как ее решить». Выгорание вообще тема специфическая для разных культур и стран и решается очень по-разному
AL
А по автоматическому реагированию достаточно вызвать на откровенный разговор вендоров и за рюмкой чая они признаются, что в 80% кейсов никакого автоматического реагирования из-за количества фолсов. И история повторяет путь IPS, DLP и других prevention-технологий.
I
Alexey Lukatsky
А этому не научат на курсах ;-( Это уже общение с теми, у кого SOC годами функционирует. На том же SOCstock про выгорание было очень много, но у всех разные советы. Кто-то вывозит сотрудников на тим-биллинги, кто-то программу ротации задействует, чтобы условный аналитик L1 посидел в кресле хантера или тиайщика. У кого-то есть штатный психолог. Но после долгой дискуссии менеджеры разных SOCов в итоге говорят: «Но да, проблема существует, и мы не знаем как ее решить». Выгорание вообще тема специфическая для разных культур и стран и решается очень по-разному
Выгорание пока еще не решается, оно лишь сдвигается на попозже
Z
Alexey Lukatsky
А по автоматическому реагированию достаточно вызвать на откровенный разговор вендоров и за рюмкой чая они признаются, что в 80% кейсов никакого автоматического реагирования из-за количества фолсов. И история повторяет путь IPS, DLP и других prevention-технологий.
👍
R
Какие ещё лабы с виртуалками на курсах по прстроению SOC?
у того же Cisco есть
IM
Реально интересный вопрос подняли. Куда кроме как в SANS можно отправить учиться условного SOC менеджера?
Интересуют не forensic и TI, а именно security operations, incident response, log management и т.п.
Интересуют не forensic и TI, а именно security operations, incident response, log management и т.п.
Касперский, Group-IB, Mandiant, Fireeye