Финальная сессия первого дня SOC-Форума была посвящена технологиям реагирования и визуализации, применяемым в работе центров мониторинга.
Анна Олейникова, директор по продуктам Security Vision, рассказала о возможностях и нюансах использования аналитики угроз TI (Threat Intelligence) в качестве одного из источников генерации расследования инцидентов. В рамках TI информацию об угрозах и злоумышленниках в киберпространстве можно разделить на несколько уровней данных.
На нижнем уровне представлены технические индикаторы компрометации: IP, хэш, URL, домен, почтовый адрес – они легко находятся в Интернете в публичных источниках, быстро идентифицируются в активах на хостах, но их зачастую не хватает для расследования. Есть также операционные и тактические данные – это данные по различным поведенческим индикаторам, которые показывают вредоносную активность в динамике. Последний уровень данных – стратегический. Всё это формирует контекст конкретного индикатора и дает возможность расследовать конкретный инцидент ИБ в полном масштабе.
Подробнее: https://ib-bank.ru/bisjournal/news/18102
