107.28K
Category: programmingprogramming
Similar presentations:
Lesson 03. Тестирование документации и требований
Lesson 03. Тестирование документации и требований
Графовые модели систем защиты информации. Лекция
Графовые модели систем защиты информации. Лекция
Lesson 04. Планирование тестовых испытаний
Lesson 04. Планирование тестовых испытаний
Кто считает время в Arduino. Pro 1.0 delay() vs. millis(). lesson 12
Кто считает время в Arduino. Pro 1.0 delay() vs. millis(). lesson 12
Темы проектных практикумов. Осенний семестр 2023. UDV Group
Темы проектных практикумов. Осенний семестр 2023. UDV Group
Lesson 06. Поиск и документирование дефектов
Lesson 06. Поиск и документирование дефектов
Инфраструктурные паттерны микросервисной архитектуры
Инфраструктурные паттерны микросервисной архитектуры
Перехват API вызовов. Системное программирование. Лекция 12
Перехват API вызовов. Системное программирование. Лекция 12
Frontend stack
Frontend stack
Lesson 6 guideline. Как правильно тестировать Веб приложения
Lesson 6 guideline. Как правильно тестировать Веб приложения

Практика работы с ELK Stack. Lesson: 12

1.

[SOC]
Course:
SECURITY OPERATION CENTER (SOC) FROM THE INSIDE
Theme 5:
«Threat Hunting»
Lesson: 12
«Практика работы с ELK Stack»

2.

[SOC]
На занятии:
1. Зачем сохранять логи и телеметрию трафика?
2. Основы работы в Elastic Stack
-2-

3.

На чем мы останавились?
[SOC]
Фиды,
полученные в
процессе TI
Внешние фиды
Фиды из
собственных
инцидентов
TI-платформа
Обогащение телеметрии событий контекстом
Средства ЗИ
организации
SIEM-система
События ИБ
IRP-система
(при наличии)
Инциденты ИБ
-3-
Приоретизированные на
основе TI инциденты

4.

Зачем сохранять логи и телеметрию трафика?
[SOC]
При расследовании инцидентов:
В рамках Threat Hunting:
Понимание контекста инцидента
• Какие действия предшествовали инциденту?
• Какие действия последовали за ним?
• Это действия пользователя или активность ПО?
Понимание масштабов инцидента
• На скольких машинах признаки компрометации
• Как долго злоумышленник в системе
• Проверка наличия индикаторов компрометации
в системе (ретроспективный анализ)
• Проверка гипотез (сработают ли СЗИ на исследуемую
активность? Какие события будут зафиксированы?)
-4-

5.

[SOC]
Домашнее задание указано
в методичке к занятию
Спасибо за внимание!
-5-
English     Русский Rules