Журналы событий фиксируют действия пользователей, системные события и другие важные данные, которые могут помочь в выявлении инцидентов и уязвимостей. Однако для того, чтобы анализ этих журналов был эффективным, необходимо использовать соответствующие инструменты и техники. Первый шаг в анализе журналов событий безопасности — это сбор и хранение данных. Для этого существуют различные инструменты. Ярким примером таких инструментов является SIEM-системы (Security Information and Event Management), которые позволяют централизовать сбор данных из различных источников...

В предыдущей статье мы рассмотрели концепцию обеспечения безопасности, в соответствии с которой в ее основе лежит некое событие – инцидент. Инциденты безопасности условно классифицируются на простые (локальные), причины которых очевидны и могут быть устранены здесь и сейчас и сложные (системные) – их решение требует внесения изменения в бизнес-процессы и внутренние нормативные документы Компании. При этом, под инцидентом мы понимаем событие (в т.ч. возможное), связанное с нарушением требований внутренних...