#siem — Public Fediverse posts

«Легитимное зло» в инфраструктуре: практический опыт детектирования LOLBAS

Привет, Хабр! Меня зовут Максим Кишмерешкин, я ведущий аналитик центра мониторинга и реагирования «Инфосистемы Джет». Сегодня мы поговорим про довольно старую, но до сих пор остающуюся популярной тему — LOTL. Напомню, что LOTL (living on the land), или как я его называю «жизнь на подножном корме» — это использование в атаке инструментов, которые уже есть в системе жертвы. Мы поделимся тем, как мы этот класс атак встречали в реальных кейсах, какие процедуры и техники выявляли, и расскажем, как их можно детектировать.

https://habr.com/ru/companies/jetinfosystems/articles/1032484/

#cybersecurity #cyberattack #lotl #lolbas #soc #siem #иб #кибербезопасность #кибербез #детектирование

Graylog 7.1 just shipped

Auto-investigations from asset risk thresholds. One-click Slice-By triage. Anomaly detection plugged directly into your alert workflow.

May the 4th be with your alert queue.

See what's new: https://graylog.org/post/may-the-logs-be-with-you-graylog-7-1-is-here/

#graylog #SIEM #MayThe4th

ИИ против ИИ: кто победит в кибербезопасности

Привет! Меня зовут Денис, я руковожу группой мониторинга и анализа инцидентов информационной безопасности. Мы отслеживаем события в инфраструктуре, ищем подозрительную активность, расследуем инциденты, взаимодействуем с внешним SOC и помогаем сотрудникам разбираться с вопросами киберграмотности. За последние пару лет стало особенно заметно: атаки меняются быстрее, чем процессы защиты успевают адаптироваться. Они становятся дешевле, масштабнее и доступнее — во многом за счет ИИ. В этой статье разбираю, какие именно изменения привнес ИИ в атаки, почему классическая модель защиты начинает давать сбои и где ИИ в защите действительно приносит практическую пользу.

https://habr.com/ru/companies/naumen/articles/1029000/

#кибербезопасность #искусственный_интеллект #soc #дипфейки #уязвимости #siem #edr #поведенческий_анализ

Страшно, когда не видно: взгляд внутрь домена

Привет, Хабр! Меня зовут Данил Зарипов, я занимаюсь продуктовой экспертизой в Positive Technologies. Эту статью мне помог подготовить мой коллега Кирилл Маслов — наш эксперт по направлению Asset Management. Мы решили не искать лёгких путей и выбрали тему, которая большинству из вас хорошо знакома. Казалось бы, что нового можно сказать про домены, пусть и с точки зрения безопасности? Для атакующего захват домена — это фактически победа. Получив контроль над контроллером домена, злоумышленник получает доступ ко всем учетным записям, компьютерам, групповым политикам и доверительным отношениям, а дальше дело техники: найти учетки бухгалтеров и топ-менеджеров, переключиться на их машины, читать почту, копировать документы. Это самые безобидные последствия. Как это часто бывает в информационной безопасности, самое знакомое скрывает множество нюансов. Давайте разбираться!

https://habr.com/ru/companies/pt/articles/1027070/

#захват_домена #domain_controller #kerberoasting #krbtgt #rsat #shadow_it #max_patrol_vm #hcc #siem #carbon

Кто выпустил гончую. Ищем следы коллекторов BloodHound в логах Windows

Служба каталогов Active Directory остается одной из самых популярных целей как среди злоумышленников, так и среди специалистов по Red Teaming и пентестеров. С выходом новых версий операционных систем семейства Windows продолжают появляться новые векторы атак на AD, например атаки на Delegated Managed Service Accounts (dMSA) в 2025-м. В ходе каждой атаки есть этап сбора информации, обнаружение которого является более сложной задачей, чем кажется на первый взгляд. Согласно аналитическому отчету нашего сервиса MDR за 2025 год в целом обнаружение данного этапа атак затруднено из-за большого количества ложных срабатываний, что снижает качество обнаружения и уменьшает вероятность предотвращения атаки, особенно в больших инфраструктурах с тысячами активов. Меня зовут Степан Ляхов, я работаю старшим инженером SOC в «Лаборатории Касперского». В этой статье я хочу рассмотреть один из самых популярных инструментов для сбора информации о домене Active Directory, разобрать, какие следы он оставляет в журналах и как обнаружить его активность.

https://habr.com/ru/companies/kaspersky/articles/1027132/

#Bloodhound #active_directory #enumerate #siem #soc #журналы_windows #sharphound

Buenas Red!!
Les comparto este nuevo post introductorio, útil, conceptual, y con datos vigentes para añadir contexto real sobre #XDR y #SIEM

Este post junto al siguiente, serán fundamentales para lo que se viene: #ciberseguridad #soc #wazuh

Buen finde!! 🐧

https://www.proyectoleeti.com/es/posts/que-es-siem-xdr/

#ciberseguridadArgentina #infosec #it #foss

Sber X-TI: разбираем бесплатную платформу кибербезопасности от Сбера

Продолжаю серию об ИБ-гигиене для среднего бизнеса. В предыдущем посте я писал, что управление уязвимостями — одна из базовых вещей, которую многие откладывают из-за стоимости инструментов. На этот раз расскажу про конкретный инструмент, который закрывает сразу несколько задач и стоит ровно ноль рублей. Речь про Sber X-Threat Intelligence (X-TI) — платформу, которую Сбер открыл в ноябре 2024 года для всех российских компаний. Я лично записался на демо, пообщался с командой Центра киберзащиты и теперь честно разбираю, что там внутри, чем платформа отличается от аналогов и когда её реально стоит использовать. Никакой рекламы. Только разбор. Откуда взялась платформа и почему это не маркетинг Сбер восемь лет строил внутреннюю Threat Intelligence Platform — для защиты собственной инфраструктуры. Команда накопила базу данных, аналитику, сервисы мониторинга. После 2022 года руководство решило открыть часть этих данных для российского бизнеса бесплатно. Причина не только альтруистическая. Есть ещё одна: Сбер как юридическое лицо по закону не может продавать ничего, кроме финансовых продуктов, поэтому X-TI коммерциализировать просто невозможно. Так что платформа останется бесплатной не из-за благородства, а потому что для неё нет другого пути. По состоянию на апрель 2026 года к платформе подключено более 600 компаний — от небольших ИТ-фирм до крупных банков и госструктур.

https://habr.com/ru/articles/1024650/

#siem #ciso #sber #soc

Sber X-TI: разбираем бесплатную платформу кибербезопасности от Сбера

Продолжаю серию об ИБ-гигиене для среднего бизнеса. В предыдущем посте я писал, что управление уязвимостями — одна из базовых вещей, которую многие откладывают из-за стоимости инструментов. На этот раз расскажу про конкретный инструмент, который закрывает сразу несколько задач и стоит ровно ноль рублей. Речь про Sber X-Threat Intelligence (X-TI) — платформу, которую Сбер открыл в ноябре 2024 года для всех российских компаний. Я лично записался на демо, пообщался с командой Центра киберзащиты и теперь честно разбираю, что там внутри, чем платформа отличается от аналогов и когда её реально стоит использовать. Никакой рекламы. Только разбор. Откуда взялась платформа и почему это не маркетинг Сбер восемь лет строил внутреннюю Threat Intelligence Platform — для защиты собственной инфраструктуры. Команда накопила базу данных, аналитику, сервисы мониторинга. После 2022 года руководство решило открыть часть этих данных для российского бизнеса бесплатно. Причина не только альтруистическая. Есть ещё одна: Сбер как юридическое лицо по закону не может продавать ничего, кроме финансовых продуктов, поэтому X-TI коммерциализировать просто невозможно. Так что платформа останется бесплатной не из-за благородства, а потому что для неё нет другого пути. По состоянию на апрель 2026 года к платформе подключено более 600 компаний — от небольших ИТ-фирм до крупных банков и госструктур.

https://habr.com/ru/articles/1024650/

#siem #ciso #sber #soc

Sber X-TI: разбираем бесплатную платформу кибербезопасности от Сбера

Продолжаю серию об ИБ-гигиене для среднего бизнеса. В предыдущем посте я писал, что управление уязвимостями — одна из базовых вещей, которую многие откладывают из-за стоимости инструментов. На этот раз расскажу про конкретный инструмент, который закрывает сразу несколько задач и стоит ровно ноль рублей. Речь про Sber X-Threat Intelligence (X-TI) — платформу, которую Сбер открыл в ноябре 2024 года для всех российских компаний. Я лично записался на демо, пообщался с командой Центра киберзащиты и теперь честно разбираю, что там внутри, чем платформа отличается от аналогов и когда её реально стоит использовать. Никакой рекламы. Только разбор. Откуда взялась платформа и почему это не маркетинг Сбер восемь лет строил внутреннюю Threat Intelligence Platform — для защиты собственной инфраструктуры. Команда накопила базу данных, аналитику, сервисы мониторинга. После 2022 года руководство решило открыть часть этих данных для российского бизнеса бесплатно. Причина не только альтруистическая. Есть ещё одна: Сбер как юридическое лицо по закону не может продавать ничего, кроме финансовых продуктов, поэтому X-TI коммерциализировать просто невозможно. Так что платформа останется бесплатной не из-за благородства, а потому что для неё нет другого пути. По состоянию на апрель 2026 года к платформе подключено более 600 компаний — от небольших ИТ-фирм до крупных банков и госструктур.

https://habr.com/ru/articles/1024650/

#siem #ciso #sber #soc

Sber X-TI: разбираем бесплатную платформу кибербезопасности от Сбера

Продолжаю серию об ИБ-гигиене для среднего бизнеса. В предыдущем посте я писал, что управление уязвимостями — одна из базовых вещей, которую многие откладывают из-за стоимости инструментов. На этот раз расскажу про конкретный инструмент, который закрывает сразу несколько задач и стоит ровно ноль рублей. Речь про Sber X-Threat Intelligence (X-TI) — платформу, которую Сбер открыл в ноябре 2024 года для всех российских компаний. Я лично записался на демо, пообщался с командой Центра киберзащиты и теперь честно разбираю, что там внутри, чем платформа отличается от аналогов и когда её реально стоит использовать. Никакой рекламы. Только разбор. Откуда взялась платформа и почему это не маркетинг Сбер восемь лет строил внутреннюю Threat Intelligence Platform — для защиты собственной инфраструктуры. Команда накопила базу данных, аналитику, сервисы мониторинга. После 2022 года руководство решило открыть часть этих данных для российского бизнеса бесплатно. Причина не только альтруистическая. Есть ещё одна: Сбер как юридическое лицо по закону не может продавать ничего, кроме финансовых продуктов, поэтому X-TI коммерциализировать просто невозможно. Так что платформа останется бесплатной не из-за благородства, а потому что для неё нет другого пути. По состоянию на апрель 2026 года к платформе подключено более 600 компаний — от небольших ИТ-фирм до крупных банков и госструктур.

https://habr.com/ru/articles/1024650/

#siem #ciso #sber #soc

От правил корреляции к когнитивному ассистенту: что меняется в архитектуре SOC с приходом ИИ

Почему правил корреляции больше недостаточно? Долгое время ядром любого центра мониторинга и реагирования на киберугрозы (далее по тексту – SOC) оставался корреляционный движок, то есть набор правил для автоматизированного поиска паттернов атак, например "5 неудачных входов" + "успешный вход" + "активность в БД" = подозрение на компрометацию" типа 5 failed logins = brute force (5 неудачных попыток входа в систему = метод перебора паролей). Сегодня этот подход напоминает попытку поймать искусного шпиона с помощью крика: "Стой! Кто идет?!". Современные атаки стали тихими, целевыми и изощренно-адаптивными. Злоумышленники используют легитимные инструменты (Living-off-the-Land — “живой” взлом), имитируют нормальную активность пользователей и растягивают шаги задуманной цепочки кибератак на месяцы. Статистика выглядит удручающе: среднестатистический SOC обрабатывает до 10⁷ событий в сутки, из которых после фильтрации остается от 10³ до 10⁴ алертов. Но 70–90% из них — ложные срабатывания, требующие ручной проверки. Это порождает так называемое Alert fatigue — профессиональное выгорание аналитиков, которые превращаются в операторов по нажатию кнопки Close false positive (“Закрыть ложноположительный результат”). На этом фоне большие языковые модели и алгоритмы машинного обучения перешли из категории "экспериментальных технологий" в разряд операционных инструментов кибербезопасности. При этом важно отметить ключевой принцип: искусственный интеллект (ИИ) не заменяет аналитика, а усиливает его возможности через снижение когнитивной нагрузки и ускорение обработки рутинных задач.

https://habr.com/ru/companies/innostage/articles/1024464/

#soc #искусственный_интеллект #машинное_обучение #ml #кибербезопасность #siem #ueba #soar #xdr #ai

От правил корреляции к когнитивному ассистенту: что меняется в архитектуре SOC с приходом ИИ

Почему правил корреляции больше недостаточно? Долгое время ядром любого центра мониторинга и реагирования на киберугрозы (далее по тексту – SOC) оставался корреляционный движок, то есть набор правил для автоматизированного поиска паттернов атак, например "5 неудачных входов" + "успешный вход" + "активность в БД" = подозрение на компрометацию" типа 5 failed logins = brute force (5 неудачных попыток входа в систему = метод перебора паролей). Сегодня этот подход напоминает попытку поймать искусного шпиона с помощью крика: "Стой! Кто идет?!". Современные атаки стали тихими, целевыми и изощренно-адаптивными. Злоумышленники используют легитимные инструменты (Living-off-the-Land — “живой” взлом), имитируют нормальную активность пользователей и растягивают шаги задуманной цепочки кибератак на месяцы. Статистика выглядит удручающе: среднестатистический SOC обрабатывает до 10⁷ событий в сутки, из которых после фильтрации остается от 10³ до 10⁴ алертов. Но 70–90% из них — ложные срабатывания, требующие ручной проверки. Это порождает так называемое Alert fatigue — профессиональное выгорание аналитиков, которые превращаются в операторов по нажатию кнопки Close false positive (“Закрыть ложноположительный результат”). На этом фоне большие языковые модели и алгоритмы машинного обучения перешли из категории "экспериментальных технологий" в разряд операционных инструментов кибербезопасности. При этом важно отметить ключевой принцип: искусственный интеллект (ИИ) не заменяет аналитика, а усиливает его возможности через снижение когнитивной нагрузки и ускорение обработки рутинных задач.

https://habr.com/ru/companies/innostage/articles/1024464/

#soc #искусственный_интеллект #машинное_обучение #ml #кибербезопасность #siem #ueba #soar #xdr #ai

От правил корреляции к когнитивному ассистенту: что меняется в архитектуре SOC с приходом ИИ

Почему правил корреляции больше недостаточно? Долгое время ядром любого центра мониторинга и реагирования на киберугрозы (далее по тексту – SOC) оставался корреляционный движок, то есть набор правил для автоматизированного поиска паттернов атак, например "5 неудачных входов" + "успешный вход" + "активность в БД" = подозрение на компрометацию" типа 5 failed logins = brute force (5 неудачных попыток входа в систему = метод перебора паролей). Сегодня этот подход напоминает попытку поймать искусного шпиона с помощью крика: "Стой! Кто идет?!". Современные атаки стали тихими, целевыми и изощренно-адаптивными. Злоумышленники используют легитимные инструменты (Living-off-the-Land — “живой” взлом), имитируют нормальную активность пользователей и растягивают шаги задуманной цепочки кибератак на месяцы. Статистика выглядит удручающе: среднестатистический SOC обрабатывает до 10⁷ событий в сутки, из которых после фильтрации остается от 10³ до 10⁴ алертов. Но 70–90% из них — ложные срабатывания, требующие ручной проверки. Это порождает так называемое Alert fatigue — профессиональное выгорание аналитиков, которые превращаются в операторов по нажатию кнопки Close false positive (“Закрыть ложноположительный результат”). На этом фоне большие языковые модели и алгоритмы машинного обучения перешли из категории "экспериментальных технологий" в разряд операционных инструментов кибербезопасности. При этом важно отметить ключевой принцип: искусственный интеллект (ИИ) не заменяет аналитика, а усиливает его возможности через снижение когнитивной нагрузки и ускорение обработки рутинных задач.

https://habr.com/ru/companies/innostage/articles/1024464/

#soc #искусственный_интеллект #машинное_обучение #ml #кибербезопасность #siem #ueba #soar #xdr #ai

От правил корреляции к когнитивному ассистенту: что меняется в архитектуре SOC с приходом ИИ

Почему правил корреляции больше недостаточно? Долгое время ядром любого центра мониторинга и реагирования на киберугрозы (далее по тексту – SOC) оставался корреляционный движок, то есть набор правил для автоматизированного поиска паттернов атак, например "5 неудачных входов" + "успешный вход" + "активность в БД" = подозрение на компрометацию" типа 5 failed logins = brute force (5 неудачных попыток входа в систему = метод перебора паролей). Сегодня этот подход напоминает попытку поймать искусного шпиона с помощью крика: "Стой! Кто идет?!". Современные атаки стали тихими, целевыми и изощренно-адаптивными. Злоумышленники используют легитимные инструменты (Living-off-the-Land — “живой” взлом), имитируют нормальную активность пользователей и растягивают шаги задуманной цепочки кибератак на месяцы. Статистика выглядит удручающе: среднестатистический SOC обрабатывает до 10⁷ событий в сутки, из которых после фильтрации остается от 10³ до 10⁴ алертов. Но 70–90% из них — ложные срабатывания, требующие ручной проверки. Это порождает так называемое Alert fatigue — профессиональное выгорание аналитиков, которые превращаются в операторов по нажатию кнопки Close false positive (“Закрыть ложноположительный результат”). На этом фоне большие языковые модели и алгоритмы машинного обучения перешли из категории "экспериментальных технологий" в разряд операционных инструментов кибербезопасности. При этом важно отметить ключевой принцип: искусственный интеллект (ИИ) не заменяет аналитика, а усиливает его возможности через снижение когнитивной нагрузки и ускорение обработки рутинных задач.

https://habr.com/ru/companies/innostage/articles/1024464/

#soc #искусственный_интеллект #машинное_обучение #ml #кибербезопасность #siem #ueba #soar #xdr #ai

SIEM: когда он нужен, правила пользования и как выявить его эффективность

В современной ИТ-инфраструктуре источники событий разрознены: firewall, серверы, АРМ, облако – все они формируют собственные потоки данных. Уже на их основе можно создать единую картину киберинцендента. Для этой задачи подойдет SIEM-система (Security Information and Event Management). Она помогает объединять логи в единое окно контроля, коррелировать разрозненные события и выявлять скрытые атаки, которые невозможно заметить при изолированном анализе. В итоге вместо хаотичных данных команда получает основу для оперативного реагирования и соблюдения регуляторных требований. Однако нередко после внедрения SIEM превращается в дорогостоящее хранилище логов, которое не подвергается анализу со стороны командой. В этом материале ответим на несколько вопросов о данном типе решений: кому и зачем оно нужно, как правильно настроить систему и как определить ее эффективность. Подробнее расскажет Илья Куриленко, заместитель генерального директора по развитию компании «Анлим», центра компетенций по информационной безопасности.

https://habr.com/ru/articles/1024550/

#siem #средства_защиты #инфраструктура #информационная_безопасность

Оказание проактивных сервисных услуг и проверка HealthCare

Информационная безопасность в классическом понимании часто работает как экстренная служба: «горит — тушим, не горим — отдыхаем». Но современная ИТ-инфраструктура слишком сложна для такого бинарного подхода. Мы привыкли реагировать на инциденты, но гораздо эффективнее — не допускать их, управляя состоянием защищенности на постоянной основе. HealthCare в ИБ (управление состоянием защищенности, далее HealthCare) — это переход от реактивной модели к проактивному управлению цифровым здоровьем компании. Если традиционный подход — это «скорая помощь», которая приезжает, когда сервер уже упал или данные украдены, то HealthCare — это регулярный чек-ап и профилактические процедуры. Результативные продукты - разговаривать с заказчиком про результат, а не про продукт Ключевая задача современного подхода к информационной безопасности — говорить с заказчиком на языке результата, а не просто перечислять характеристики внедренных решений. Важно не то, какой продукт установлен, а то, какие угрозы он реально помогает обнаружить и предотвратить и, соответственно, какой профит приносит бизнесу.

https://habr.com/ru/companies/innostage/articles/1021236/

#информационая_безопасность #итинфраструктура #healthcare #проактивный_подход #техническая_поддержка #siem

Grateful and humbled. Another RSA in the books, great conversations, and new hardware to show for it.

Thanks to all who stopped by and chatted with us.

#RSAC2026 #Graylog #SIEM #CyberSecurity

Системы мониторинга без процессов — ресурсы на ветер, или Как получить максимум эффективности от использования SIEM

Чтобы автоматизированно проверять и централизованно обрабатывать огромное количество событий о происходящем в инфраструктуре, используется SIEM –– класс решений информационной безопасности, призванный анализировать события ИБ, собираемые c устройств инфраструктуры, выявлять подозрения на инциденты. Но для правильного использования этой системы, а тем более для максимально эффективной ее эксплуатации, необходимо провести ряд организационных мероприятий, направленных на выстраивание правильной работы как специалистов, непосредственно взаимодействующих с SIEM (аналитиков ИБ, технических специалистов и администраторов), так и смежных подразделений организации, отвечающих за блок ИТ. После установки система не становится эффективной сама по себе, и помимо наличия персонала, в чьем ведении она находится, также важны и процессы, которые структурируют и делают более прозрачной и прогнозируемой деятельность по выявлению инцидентов ИБ. В статье я расскажу, какие процессы следует наладить для работы с SIEM, почему это важно, и какие последствия могут быть и, скорее всего, будут, если этого не сделать.

https://habr.com/ru/companies/pt/articles/1014446/

#cybersecurity #soc #сзи #siem #анализ_логов #кибербезопасность #процессы #регламенты

Most SIEMs reward complexity. We don't.

Come see us at Booth S-3118 to learn more!

Experience a #SIEM that actually works for lean security teams.

#cybersecurity #RSAC2026

Two awards. One booth. Zero tolerance for SIEM that creates more work than it closes.

Graylog won Hot Company SIEM and Best Solution Central Log Management at #RSAC 2026.

Come see us at Booth S-3118 this week.

Full story: https://graylog.org/news/graylog-earns-two-global-infosec-awards/

#RSAC2026 #SIEM #CyberSecurity #LogManagement

Das Land Hessen geht mit einer MISP-Instanz des Hessen3C einen wichtigen Schritt für die kommunale Informationssicherheit.

🔎 Strukturierter IoC-Austausch ermöglicht ein gemeinsames Lagebild statt isolierter Reaktion.
🟢 TLP:GREEN erlaubt die direkte Nutzung im SIEM (z. B. Detektion & Anreicherung).
🤝 Kommunen werden Teil eines gemeinsamen Sicherheitsnetzwerks.

Mehrwert:
• bessere Detektion
• weniger Blindflug
• stärkere Zusammenarbeit

⚙️ Herausforderung: SIEM/TI-Betrieb ist für viele Kommunen kaum leistbar → ein landesweiter SOC-Dienst wäre ein logischer nächster Schritt.

💡 Fazit: strategischer Baustein für vernetzte Informationssicherheit.

https://hessen3c.de/meldungen-neuigkeiten/misp-instanz-ermoeglicht-ioc-austausch-mit-kommunen

#ITSicherheit #Kommunen #MISP #SIEM #SOC #Hessen

Das Land Hessen geht mit einer MISP-Instanz des Hessen3C einen wichtigen Schritt für die kommunale Informationssicherheit.

🔎 Strukturierter IoC-Austausch ermöglicht ein gemeinsames Lagebild statt isolierter Reaktion.
🟢 TLP:GREEN erlaubt die direkte Nutzung im SIEM (z. B. Detektion & Anreicherung).
🤝 Kommunen werden Teil eines gemeinsamen Sicherheitsnetzwerks.

Mehrwert:
• bessere Detektion
• weniger Blindflug
• stärkere Zusammenarbeit

⚙️ Herausforderung: SIEM/TI-Betrieb ist für viele Kommunen kaum leistbar → ein landesweiter SOC-Dienst wäre ein logischer nächster Schritt.

💡 Fazit: strategischer Baustein für vernetzte Informationssicherheit.

https://hessen3c.de/meldungen-neuigkeiten/misp-instanz-ermoeglicht-ioc-austausch-mit-kommunen

#ITSicherheit #Kommunen #MISP #SIEM #SOC #Hessen

Das Land Hessen geht mit einer MISP-Instanz des Hessen3C einen wichtigen Schritt für die kommunale Informationssicherheit.

🔎 Strukturierter IoC-Austausch ermöglicht ein gemeinsames Lagebild statt isolierter Reaktion.
🟢 TLP:GREEN erlaubt die direkte Nutzung im SIEM (z. B. Detektion & Anreicherung).
🤝 Kommunen werden Teil eines gemeinsamen Sicherheitsnetzwerks.

Mehrwert:
• bessere Detektion
• weniger Blindflug
• stärkere Zusammenarbeit

⚙️ Herausforderung: SIEM/TI-Betrieb ist für viele Kommunen kaum leistbar → ein landesweiter SOC-Dienst wäre ein logischer nächster Schritt.

💡 Fazit: strategischer Baustein für vernetzte Informationssicherheit.

https://hessen3c.de/meldungen-neuigkeiten/misp-instanz-ermoeglicht-ioc-austausch-mit-kommunen

#ITSicherheit #Kommunen #MISP #SIEM #SOC #Hessen

Das Land Hessen geht mit einer MISP-Instanz des Hessen3C einen wichtigen Schritt für die kommunale Informationssicherheit.

🔎 Strukturierter IoC-Austausch ermöglicht ein gemeinsames Lagebild statt isolierter Reaktion.
🟢 TLP:GREEN erlaubt die direkte Nutzung im SIEM (z. B. Detektion & Anreicherung).
🤝 Kommunen werden Teil eines gemeinsamen Sicherheitsnetzwerks.

Mehrwert:
• bessere Detektion
• weniger Blindflug
• stärkere Zusammenarbeit

⚙️ Herausforderung: SIEM/TI-Betrieb ist für viele Kommunen kaum leistbar → ein landesweiter SOC-Dienst wäre ein logischer nächster Schritt.

💡 Fazit: strategischer Baustein für vernetzte Informationssicherheit.

https://hessen3c.de/meldungen-neuigkeiten/misp-instanz-ermoeglicht-ioc-austausch-mit-kommunen

#ITSicherheit #Kommunen #MISP #SIEM #SOC #Hessen

Das Land Hessen geht mit einer MISP-Instanz des Hessen3C einen wichtigen Schritt für die kommunale Informationssicherheit.

🔎 Strukturierter IoC-Austausch ermöglicht ein gemeinsames Lagebild statt isolierter Reaktion.
🟢 TLP:GREEN erlaubt die direkte Nutzung im SIEM (z. B. Detektion & Anreicherung).
🤝 Kommunen werden Teil eines gemeinsamen Sicherheitsnetzwerks.

Mehrwert:
• bessere Detektion
• weniger Blindflug
• stärkere Zusammenarbeit

⚙️ Herausforderung: SIEM/TI-Betrieb ist für viele Kommunen kaum leistbar → ein landesweiter SOC-Dienst wäre ein logischer nächster Schritt.

💡 Fazit: strategischer Baustein für vernetzte Informationssicherheit.

https://hessen3c.de/meldungen-neuigkeiten/misp-instanz-ermoeglicht-ioc-austausch-mit-kommunen

#ITSicherheit #Kommunen #MISP #SIEM #SOC #Hessen

Wazuh Whodata на Windows: как я победил баг локализации (ошибка 6955) и собрал рабочий агент своими руками

Статья была отредактирована и доработана с помощью AI. Текс сделан более структурированным, грамотным.

https://habr.com/ru/articles/1013442/

#wazuh #siem #ERROR_6955 #6955 #whodata

Держим руку на пульсе: мониторинг состояния Wazuh

Как известно, SIEM системы предназначены для обнаружения угроз и мониторинга безопасности, но при этом важно учитывать, что и сама SIEM является сложной распределенной системой, с которой также могут возникнуть различные проблемы. Так, к примеру в Wazuh может отключиться агент, переполниться диск с логами или перестать работать менеджер. В этой статье мы рассмотрим практические подходы к мониторингу состояния Wazuh, чтобы вы всегда были уверены в его работоспособности.

https://habr.com/ru/companies/otus/articles/1010954/

#wazuh #siem #информационная_безопасность #wazuhmanager #elasticsearch

BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту

Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один .sys-файл. Обычный, подписанный, из прошлого века. И события пропадают. Не потому что Sysmon упал или EDR отключили. Они работают. Просто ядро Windows больше не считает нужным им что-то рассказывать. Я залез внутрь, чтобы понять, как это устроено. Поднял WinDbg, подключился к ядру, нашёл структуры, где хранятся callback'и мониторинга. Обнулил их, повторив технику руткита Lazarus. Sysmon на месте, PID живой, но лог пустой. Меня зовут Роман Мгоев, я специалист по анализу киберугроз в Альфа-Банке, в статье пройду этот путь целиком: начиная с архитектуры колец защиты Windows, byte-патчей в памяти ядра и разбора FudModule от Lazarus обеих версий, до свежих техник zerosalarium и разбора публичных тулкитов, а в конце поделюсь семью направлениями детектирования с готовыми правилами для SIEM. Отдельный блок — про аудит драйверов, которых ещё нет ни в одной базе.

https://habr.com/ru/companies/alfa/articles/1011302/

#BYOVD #EDR #Windows_kernel #Sysmon #SIEM #Lazarus #ransomware #reverse_engineering #SOC #detection_engineering

Is there a guide how to integrate #SIEM systems and #VideoSuvailance systems vor General alarming systems for having physical and Cyber #security in one Palace (if company is not that large ...)

Or is this just a shit idea ?

#misp #dones #cyberPhysicalConvergence

Is there a guide how to integrate #SIEM systems and #VideoSuvailance systems vor General alarming systems for having physical and Cyber #security in one Palace (if company is not that large ...)

Or is this just a shit idea ?

#misp #dones #cyberPhysicalConvergence

Is there a guide how to integrate #SIEM systems and #VideoSuvailance systems vor General alarming systems for having physical and Cyber #security in one Palace (if company is not that large ...)

Or is this just a shit idea ?

#misp #dones #cyberPhysicalConvergence

Is there a guide how to integrate #SIEM systems and #VideoSuvailance systems vor General alarming systems for having physical and Cyber #security in one Palace (if company is not that large ...)

Or is this just a shit idea ?

#misp #dones #cyberPhysicalConvergence

Is there a guide how to integrate #SIEM systems and #VideoSuvailance systems vor General alarming systems for having physical and Cyber #security in one Palace (if company is not that large ...)

Or is this just a shit idea ?

#misp #dones #cyberPhysicalConvergence

Современный подход к управлению киберугрозами: результаты первых внедрений MaxPatrol Carbon

Прошлый год ознаменовался чередой киберинцидентов, повлекших за собой рекордные убытки как для международных, так и для российских компаний. Благодаря ИИ и широкой доступности инструментария, атаки становятся все дешевле для хакеров, а вот компании далеко не всегда успевают принять необходимые меры по повышению уровня защищённости, обнаружению нарушителей и своевременному реагированию. Проблема заключается не столько в квалификации специалистов и доступных ресурсах, сколько в отсутствии базовых процессов, например, процесса управления активами , напрямую связанным с нехваткой актуальных данных о защищаемой инфраструктуре и ее слабых местах. Важным остается и то, насколько быстро и эффективно выявляются и устраняются критически опасные недостатки, которыми могут воспользоваться злоумышленники, а также насколько оперативно компания достигает целевого уровня защищенности критически важных бизнес-процессов.

https://habr.com/ru/companies/pt/articles/1004058/

#max_patrol_carbon #tta #max_patrol_vm #siem #ttd #threat_model #sccm #vlan #ncc

Современный подход к управлению киберугрозами: результаты первых внедрений MaxPatrol Carbon

Прошлый год ознаменовался чередой киберинцидентов, повлекших за собой рекордные убытки как для международных, так и для российских компаний. Благодаря ИИ и широкой доступности инструментария, атаки становятся все дешевле для хакеров, а вот компании далеко не всегда успевают принять необходимые меры по повышению уровня защищённости, обнаружению нарушителей и своевременному реагированию. Проблема заключается не столько в квалификации специалистов и доступных ресурсах, сколько в отсутствии базовых процессов, например, процесса управления активами , напрямую связанным с нехваткой актуальных данных о защищаемой инфраструктуре и ее слабых местах. Важным остается и то, насколько быстро и эффективно выявляются и устраняются критически опасные недостатки, которыми могут воспользоваться злоумышленники, а также насколько оперативно компания достигает целевого уровня защищенности критически важных бизнес-процессов.

https://habr.com/ru/companies/pt/articles/1004058/

#max_patrol_carbon #tta #max_patrol_vm #siem #ttd #threat_model #sccm #vlan #ncc

Современный подход к управлению киберугрозами: результаты первых внедрений MaxPatrol Carbon

Прошлый год ознаменовался чередой киберинцидентов, повлекших за собой рекордные убытки как для международных, так и для российских компаний. Благодаря ИИ и широкой доступности инструментария, атаки становятся все дешевле для хакеров, а вот компании далеко не всегда успевают принять необходимые меры по повышению уровня защищённости, обнаружению нарушителей и своевременному реагированию. Проблема заключается не столько в квалификации специалистов и доступных ресурсах, сколько в отсутствии базовых процессов, например, процесса управления активами , напрямую связанным с нехваткой актуальных данных о защищаемой инфраструктуре и ее слабых местах. Важным остается и то, насколько быстро и эффективно выявляются и устраняются критически опасные недостатки, которыми могут воспользоваться злоумышленники, а также насколько оперативно компания достигает целевого уровня защищенности критически важных бизнес-процессов.

https://habr.com/ru/companies/pt/articles/1004058/

#max_patrol_carbon #tta #max_patrol_vm #siem #ttd #threat_model #sccm #vlan #ncc

Современный подход к управлению киберугрозами: результаты первых внедрений MaxPatrol Carbon

Прошлый год ознаменовался чередой киберинцидентов, повлекших за собой рекордные убытки как для международных, так и для российских компаний. Благодаря ИИ и широкой доступности инструментария, атаки становятся все дешевле для хакеров, а вот компании далеко не всегда успевают принять необходимые меры по повышению уровня защищённости, обнаружению нарушителей и своевременному реагированию. Проблема заключается не столько в квалификации специалистов и доступных ресурсах, сколько в отсутствии базовых процессов, например, процесса управления активами , напрямую связанным с нехваткой актуальных данных о защищаемой инфраструктуре и ее слабых местах. Важным остается и то, насколько быстро и эффективно выявляются и устраняются критически опасные недостатки, которыми могут воспользоваться злоумышленники, а также насколько оперативно компания достигает целевого уровня защищенности критически важных бизнес-процессов.

https://habr.com/ru/companies/pt/articles/1004058/

#max_patrol_carbon #tta #max_patrol_vm #siem #ttd #threat_model #sccm #vlan #ncc

CTEM для внешнего периметра

Привет, Хабр! Я Айдар Фатыхов, менеджер продуктов в Innostage. Хочу разобрать практическую задачу, с которой регулярно сталкиваются ИБ-команды крупных компаний: защита самой горячей точки в инфраструктуре – внешнего сетевого периметра. Отчёты по уязвимостям растут, поверхность атаки постоянно меняется и увеличивается, рук для закрытия рисков постоянно не хватает и ясного ответа, что закрывать в первую очередь по внешнему периметру нет. И вроде бы внедряются технические средства, различные сканеры, межсетевые экраны, WAF и другие средства, но во многих случаях проблема не в отсутствии инструментов, а в разрыве между выявленными уязвимостями и бизнес-ценностью активов, фрагментированной работой с данными разных средств защиты, и в отсутствии правильного сведения в единую картину данных от внешних и внутренних сканеров. Дальше разберу, как подойти к этой задаче с помощью фреймворка CTEM: связать результаты обнаружения с контекстом и телеметрией, получить управляемые приоритеты и доводить устранение до подтверждённого результата через повторную проверку. Почему именно периметр? Перед тем, как переходить к методологии, важно зафиксировать, почему внешний периметр почти всегда оказывается в фокусе. Периметр меняется быстрее всего. Появляются новые сервисы, конфигурации правятся, порты открываются и закрываются, где-то всплывают временные стенды и пилоты. И значительная часть рисков возникает именно на стыке изменений и контроля. По итогам 1-го полугодия 2025 года наши эксперты Innostage SOC CyberART зафиксировали рост OSINT-инцидентов на 50% почти до 10 тысяч. При этом более 70% таких инцидентов было связано с изменениями на периметре: открытие портов, смена конфигураций сервисов, появление новых ресурсов или изменения сведений о существующих. Это важный сигнал: периметр часто уязвим не только из-за конкретной уязвимости, а из-за неуправляемых изменений и слабого контроля того, что именно и как выставлено наружу.

https://habr.com/ru/companies/innostage/articles/995384/

#CTEM #Внешний_сетевой_периметр #управление_уязвимостями #ASM #Приоритизация_рисков #SIEM #телеметрия_безопасности #Проактивное_управление_угрозами #threat_intelligence #osint

Интеграция SIEM с IRIS, Cortex, MISP, n8n (2 часть)

Привет. Меня зовут Андрей Урывко, я инженер ИБ. Это цикл статей о том, как мы перешли с Wazuh на коммерческий SIEM, а затем построили цепочку автоматизации обработки алертов с использованием IRIS (case management), Cortex, MISP и n8n. В предыдущей части статьи об Интеграция SIEM с IRIS, Cortex, MISP, n8n я рассказывал о том, почему мы перешли с Wazuh и о том, как установить все необходимые приложение и подключить SIEM к n8n. В этой части я покажу: Базовую настройку IRIS; Логику обработки события «переход по опасной ссылке»; Добавление активов в кейс IRIS.

https://habr.com/ru/articles/992838/

#siem #soar #IRIS #n8n #misp #cortex #irp #информационная_безопасность

Интеграция SIEM с IRIS, Cortex, MISP, n8n (2 часть)

Привет. Меня зовут Андрей Урывко, я инженер ИБ. Это цикл статей о том, как мы перешли с Wazuh на коммерческий SIEM, а затем построили цепочку автоматизации обработки алертов с использованием IRIS (case management), Cortex, MISP и n8n. В предыдущей части статьи об Интеграция SIEM с IRIS, Cortex, MISP, n8n я рассказывал о том, почему мы перешли с Wazuh и о том, как установить все необходимые приложение и подключить SIEM к n8n. В этой части я покажу: Базовую настройку IRIS; Логику обработки события «переход по опасной ссылке»; Добавление активов в кейс IRIS.

https://habr.com/ru/articles/992838/

#siem #soar #IRIS #n8n #misp #cortex #irp #информационная_безопасность

Интеграция SIEM с IRIS, Cortex, MISP, n8n (2 часть)

Привет. Меня зовут Андрей Урывко, я инженер ИБ. Это цикл статей о том, как мы перешли с Wazuh на коммерческий SIEM, а затем построили цепочку автоматизации обработки алертов с использованием IRIS (case management), Cortex, MISP и n8n. В предыдущей части статьи об Интеграция SIEM с IRIS, Cortex, MISP, n8n я рассказывал о том, почему мы перешли с Wazuh и о том, как установить все необходимые приложение и подключить SIEM к n8n. В этой части я покажу: Базовую настройку IRIS; Логику обработки события «переход по опасной ссылке»; Добавление активов в кейс IRIS.

https://habr.com/ru/articles/992838/

#siem #soar #IRIS #n8n #misp #cortex #irp #информационная_безопасность

Интеграция SIEM с IRIS, Cortex, MISP, n8n (2 часть)

Привет. Меня зовут Андрей Урывко, я инженер ИБ. Это цикл статей о том, как мы перешли с Wazuh на коммерческий SIEM, а затем построили цепочку автоматизации обработки алертов с использованием IRIS (case management), Cortex, MISP и n8n. В предыдущей части статьи об Интеграция SIEM с IRIS, Cortex, MISP, n8n я рассказывал о том, почему мы перешли с Wazuh и о том, как установить все необходимые приложение и подключить SIEM к n8n. В этой части я покажу: Базовую настройку IRIS; Логику обработки события «переход по опасной ссылке»; Добавление активов в кейс IRIS.

https://habr.com/ru/articles/992838/

#siem #soar #IRIS #n8n #misp #cortex #irp #информационная_безопасность

Интеграция R-Vision SIEM с IRIS, Cortex, MISP, n8n

Привет. Меня зовут Андрей Урывко, я инженер ИБ в Всеинструменты.ру. За несколько месяцев эксплуатации Wazuh мы упёрлись в классическую для небольших SOC проблему: рост числа алертов при отсутствии ресурсов на их обработку. При 150–200 оповещениях в день и одном инженере в штате значительная часть времени уходила на ручную проверку однотипных сработок, а развитие инфраструктуры фактически остановилось. В этой статье я расскажу, как мы перешли с Wazuh на R-Vision SIEM, а затем построили цепочку автоматизации обработки алертов с использованием IRIS (case management), Cortex, MISP и n8n. Это будет цикл статей, в котором я последовательно разберу построение цепочки автоматизированной обработки инцидентов:

https://habr.com/ru/articles/982604/

#siem #soc #soar #RVision #IRIS #n8n #misp #cortex #irp #информационная_безопасность

Интеграция R-Vision SIEM с IRIS, Cortex, MISP, n8n

Привет. Меня зовут Андрей Урывко, я инженер ИБ в Всеинструменты.ру. За несколько месяцев эксплуатации Wazuh мы упёрлись в классическую для небольших SOC проблему: рост числа алертов при отсутствии ресурсов на их обработку. При 150–200 оповещениях в день и одном инженере в штате значительная часть времени уходила на ручную проверку однотипных сработок, а развитие инфраструктуры фактически остановилось. В этой статье я расскажу, как мы перешли с Wazuh на R-Vision SIEM, а затем построили цепочку автоматизации обработки алертов с использованием IRIS (case management), Cortex, MISP и n8n. Это будет цикл статей, в котором я последовательно разберу построение цепочки автоматизированной обработки инцидентов:

https://habr.com/ru/articles/982604/

#siem #soc #soar #RVision #IRIS #n8n #misp #cortex #irp #информационная_безопасность

Интеграция R-Vision SIEM с IRIS, Cortex, MISP, n8n

Привет. Меня зовут Андрей Урывко, я инженер ИБ в Всеинструменты.ру. За несколько месяцев эксплуатации Wazuh мы упёрлись в классическую для небольших SOC проблему: рост числа алертов при отсутствии ресурсов на их обработку. При 150–200 оповещениях в день и одном инженере в штате значительная часть времени уходила на ручную проверку однотипных сработок, а развитие инфраструктуры фактически остановилось. В этой статье я расскажу, как мы перешли с Wazuh на R-Vision SIEM, а затем построили цепочку автоматизации обработки алертов с использованием IRIS (case management), Cortex, MISP и n8n. Это будет цикл статей, в котором я последовательно разберу построение цепочки автоматизированной обработки инцидентов:

https://habr.com/ru/articles/982604/

#siem #soc #soar #RVision #IRIS #n8n #misp #cortex #irp #информационная_безопасность

Интеграция R-Vision SIEM с IRIS, Cortex, MISP, n8n

Привет. Меня зовут Андрей Урывко, я инженер ИБ в Всеинструменты.ру. За несколько месяцев эксплуатации Wazuh мы упёрлись в классическую для небольших SOC проблему: рост числа алертов при отсутствии ресурсов на их обработку. При 150–200 оповещениях в день и одном инженере в штате значительная часть времени уходила на ручную проверку однотипных сработок, а развитие инфраструктуры фактически остановилось. В этой статье я расскажу, как мы перешли с Wazuh на R-Vision SIEM, а затем построили цепочку автоматизации обработки алертов с использованием IRIS (case management), Cortex, MISP и n8n. Это будет цикл статей, в котором я последовательно разберу построение цепочки автоматизированной обработки инцидентов:

https://habr.com/ru/articles/982604/

#siem #soc #soar #RVision #IRIS #n8n #misp #cortex #irp #информационная_безопасность

AI in a SOC shouldn’t be “push button, solve security.” It’s better as a force multiplier: faster triage, cleaner investigations, safer automation, and way less copy/paste misery.

I also get into the guardrails that actually matter (evidence-first summaries, human-in-the-loop, prompt injection, least privilege).

Read it here: https://www.kylereddoch.me/blog/putting-ai-to-work-in-the-soc/

#cybersecurity #SOC #SecurityOperations #AI #IncidentResponse #SIEM #SOAR

AI in a SOC shouldn’t be “push button, solve security.” It’s better as a force multiplier: faster triage, cleaner investigations, safer automation, and way less copy/paste misery.

I also get into the guardrails that actually matter (evidence-first summaries, human-in-the-loop, prompt injection, least privilege).

Read it here: https://www.kylereddoch.me/blog/putting-ai-to-work-in-the-soc/

#cybersecurity #SOC #SecurityOperations #AI #IncidentResponse #SIEM #SOAR

Are you using your #SIEM to detect #security threats in the most efficient and effective ways possible❓🤔 When you implement and fine-tune SIEM detections, you strengthen your security posture and become better able to strategically aligning with your business objectives.

Fine-tuning your SIEM detections specifically allows you to:
💡 Improve threat detection with smarter correlation
⬆️ Accelerate incident response
👀 Gain comprehensive visibility into your environment
☑️ Enable compliance and audit readiness
😌 Reduce alert fatigue

Read on, to learn about 6 specific steps you can take that will help you build fine-tuned detections and high-fidelity alerts.👇

https://graylog.org/post/6-steps-for-using-a-siem-to-detect-threats/ #ThreatDetection #IncidentResponse #TDIR #CyberSecurity

Are you using your #SIEM to detect #security threats in the most efficient and effective ways possible❓🤔 When you implement and fine-tune SIEM detections, you strengthen your security posture and become better able to strategically aligning with your business objectives.

Fine-tuning your SIEM detections specifically allows you to:
💡 Improve threat detection with smarter correlation
⬆️ Accelerate incident response
👀 Gain comprehensive visibility into your environment
☑️ Enable compliance and audit readiness
😌 Reduce alert fatigue

Read on, to learn about 6 specific steps you can take that will help you build fine-tuned detections and high-fidelity alerts.👇

https://graylog.org/post/6-steps-for-using-a-siem-to-detect-threats/ #ThreatDetection #IncidentResponse #TDIR #CyberSecurity