13.08.2020 Экспертиза, Безопасность, Открытый код/LinuxSecurity Operation Center (SOC) — это прежде всего команда, которая хорошо понимает и знает все возможные нюансы в работе, регистрации, реагировании и ликвидации последствий инцидентов информационной безопасности. Для построения бесплатного SOC в правильном его понимании необходимо наличие квалифицированного штата сотрудников и сильный инструментарий. Есть два пути построения SOC: · cотрудники и хорошо зарекомендовавшие себя коммерческие инструменты; · cотрудники и свободно распространяемый инструментарий, требующий постоянной доработки. Второй способ кажется менее привлекательным, но зачастую это единственный доступный выход. В данной статье рассмотрим основные принципы, на что нужно обратить внимание и с чего начать. Работа с событиями Первое, что необходимо для будущего SOC — это выбор пути и инструментария для реализации своих планов. Необходимо реализовать следующую схему: Источники->События->Сбор и хранение событий->Обработка событий и выявление инцидентов->Работа с инцидентами->Решение и закрытие инцидентов с предотвращением их в дальнейшем. Для работы с событиями мы остановились на свободно распространяемом продукте, состоящем из стека трех компонентов: · Elastic · Logstash · Kibana Выбор основывался на масштабируемости, широких возможностях, быстрой реализации и хорошей совместимости с другими системами. С помощью данного инструмента возможно быстро и безопасно собирать данные практически из любых источников, а ...
читать далее.