Книжка может и хорошая, но я не нашёл в ней ответы на многие интересующие меня вопросы:
1) Регулярный мониторинг логов (количественный и качественный). Кто ни будь замерял, на сколько деградируют логи после 3-4 лет эксплуатации SOC? Я замерял - процент мне не понравился. Хотелось бы получить рекомендации от тренера и коллег.
2) Автоматическое реагирование - кто где и как применяет? Какие лучшие практики? Мне не хотелось бы заблочить половину сотрудников из-за фолза. Или разорвать все VPN сессии. Или запустить AV сканирование на тысячях машин в разгар рабочего дня.
3) Как предотвратить эмоциональное выгорание аналитиков при мониторинге десятков подозрений на инцидент в день. Как оптимально организовать смены, чтобы у аналитиков не замыливался глаз. Нормально ли совмещать в одной роли аналитика по SOC и аналитика по DLP?
И много ещё вопросов, ответы на которые не описаны в книге, но на которые ответ можно найти на курсах и в дискуссии.
По 1) если поставить вопрос этот и мониторить log aviability, то по идее деградации быть не должно. Ещё к этому можно дополнять coverage сенсоров там и прочие штуки, а всякие verodin/ red atomic раскиданные по ключевым точкам и сегментам - дают фидбек. Если это коррелировать с ассет базой cmdb, то можно чётко детектить пятна. Но, конечно, тут много но и все зависит от конкретной ситуации )
