18.05.2020 Новости, БезопасностьПосле приобретения системы управления инцидентами ИБ (SIEM) перед организацией встаёт практический вопрос: как сделать так, чтобы она реально повышала уровень безопасности, а не просто собирала логи, которые никто не анализирует? «СёрчИнформ Мониторинг безопасности» (СёрчИнформ SIEM) спроектирована так, чтобы сразу встраиваться в рабочий процесс. На ее примере расскажем, как система может работать «из коробки» — с предустановленными правилами корреляции и понятным интерфейсом. Она быстро встраивается в существующие бизнес-процессы, при этом предоставляя полноценный инструментарий для мониторинга ИТ-инфраструктуры, расследования инцидентов и защиты от внутренних и внешних угроз. Как выбрать источники На этапе внедрения важно определить, с каких источников начинать сбор данных. Правильный выбор последовательности позволяет быстро получить результат и не перегружать команду на старте. Предлагаем два подхода. Первый — от критических точек: начать с систем, компрометация которых нанесёт наибольший ущерб. Это межсетевые экраны, контроллеры домена, ключевые серверы и бизнес-приложения. Второй подход — от периметра внутрь: двигаться от границы сети (роутеры, файерволы) к внутренним ресурсам, что позволяет сначала настроить контроль над входящим и исходящим трафиком. После выбора источников остаётся определить приоритетные угрозы и выстроить процесс так, чтобы система приносила пользу с первых дней работы. #IMAGE_234839# Как уменьшить число ложных срабатываний на старте На начальном ...
читать далее.
