Большинство киберинцидентов не начинаются с громкого взлома, как в кино. Обычно всё выглядит намного скучнее: кто-то несколько раз ошибся с паролем, с неизвестного IP пришёл странный запрос, на сервере появился подозрительный процесс, один пользователь вошёл в систему из необычной локации, а где-то в логах мелькнул домен из чёрного списка. По отдельности каждое событие может казаться обычной технической мелочью. Но вместе они иногда складываются в картину атаки. Проблема в том, что в современной инфраструктуре таких событий тысячи и миллионы...