Все о SOC: от автоматизации до первого алерта | Выпуск 2. Источники событий и правила корреляции

SOC начинается с событий — но какие из них действительно важны? Во втором выпуске подкаста разбираемся, как правильно выбирать источники данных для SOC, зачем нужны правила корреляции и можно ли обойтись только коробочным контентом SIEM. 💡 Обсуждаем: - Что считается источником событий SOC и какие системы стоит подключать в первую очередь - Когда стоит ограничивать подключение и почему не все нужно тянуть в SOC - Как контролировать качество и полноту собираемых событий - Почему «коробочный контент» SIEM часто не спасает - Когда пригодится собственная разработка правил корреляции и чем может помочь TI - SIGMA, ложные срабатывания и тестирование правил корреляции 🎧 Ведущий: Теймур Хеирхабаров, Директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE 👥 Участники: Максим Жевнерев, Руководитель отдела развития технологий и перспективных услуг SOC в Solar Олег Слепушенко, Руководитель направления мониторинга и реагирования RT Protect SOC Андрей Шаляпин, Руководитель BI.ZONE TDR Подписывайтесь, чтобы не пропустить новые выпуски — впереди еще много разговоров о SOC, автоматизации и детектировании. 00:00 Приветствие. О чём будет выпуск? 00:53 Гости 01:35 Что может выступать источником событий в SOC? 05:58 Как понять, что нужно подключать к SOC, а что нет? 13:29 Самые критичные источники, которые необходимо подключать к SOC в первую очередь. 16:10 Зачем продолжают подключать файерволы к SOC и нужно ли это делать? 21:00 Есть ли у рынка потребность в...