#фиды — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #фиды, aggregated by home.social.
-
Смерть от тысячи алертов: как отфильтровать мусор из TI-фидов
Есть типовой путь, по которому команды приходят к разочарованию в Threat intelligence. Сначала кто-то в компании слышит, что фиды помогут раньше видеть атаки, быстрее реагировать, меньше пропускать. Потом кто-то другой берет пачку индикаторов из разных источников и по-быстрому заливает их в NGFW, прокси, SIEM или IDS. После СЗИ начинает сходить с ума: сыпятся алерты, в логах всплывают легитимные сервисы, аналитики несколько дней разгребают мусор… В итоге всё это счастье переводят в режим «только мониторинг», чтобы ничего не сломать. В результате напрашивается вывод: Threat intelligence — это, конечно, модно, но нам не нужно и вообще больше похоже на дорогую игрушку для крупных SOC. Вот только проблема не в TI, а в том, что сырые фиды никто не должен использовать в проде. Под катом разбираемся, почему именно так происходит, какие фиды стоит брать, а какие выкидывать, и как не превратить TI в генератор ложных срабатываний. Узнать подробности
https://habr.com/ru/companies/garda/articles/1032050/
#TI #фиды #индикаторы_компрометации #threat_intelligence #threat_intelligence_platform #Гарда_Threat_Intelligence_Feeds #сетевая_безопасность #информационная_безопасность
-
Смерть от тысячи алертов: как отфильтровать мусор из TI-фидов
Есть типовой путь, по которому команды приходят к разочарованию в Threat intelligence. Сначала кто-то в компании слышит, что фиды помогут раньше видеть атаки, быстрее реагировать, меньше пропускать. Потом кто-то другой берет пачку индикаторов из разных источников и по-быстрому заливает их в NGFW, прокси, SIEM или IDS. После СЗИ начинает сходить с ума: сыпятся алерты, в логах всплывают легитимные сервисы, аналитики несколько дней разгребают мусор… В итоге всё это счастье переводят в режим «только мониторинг», чтобы ничего не сломать. В результате напрашивается вывод: Threat intelligence — это, конечно, модно, но нам не нужно и вообще больше похоже на дорогую игрушку для крупных SOC. Вот только проблема не в TI, а в том, что сырые фиды никто не должен использовать в проде. Под катом разбираемся, почему именно так происходит, какие фиды стоит брать, а какие выкидывать, и как не превратить TI в генератор ложных срабатываний. Узнать подробности
https://habr.com/ru/companies/garda/articles/1032050/
#TI #фиды #индикаторы_компрометации #threat_intelligence #threat_intelligence_platform #Гарда_Threat_Intelligence_Feeds #сетевая_безопасность #информационная_безопасность
-
Смерть от тысячи алертов: как отфильтровать мусор из TI-фидов
Есть типовой путь, по которому команды приходят к разочарованию в Threat intelligence. Сначала кто-то в компании слышит, что фиды помогут раньше видеть атаки, быстрее реагировать, меньше пропускать. Потом кто-то другой берет пачку индикаторов из разных источников и по-быстрому заливает их в NGFW, прокси, SIEM или IDS. После СЗИ начинает сходить с ума: сыпятся алерты, в логах всплывают легитимные сервисы, аналитики несколько дней разгребают мусор… В итоге всё это счастье переводят в режим «только мониторинг», чтобы ничего не сломать. В результате напрашивается вывод: Threat intelligence — это, конечно, модно, но нам не нужно и вообще больше похоже на дорогую игрушку для крупных SOC. Вот только проблема не в TI, а в том, что сырые фиды никто не должен использовать в проде. Под катом разбираемся, почему именно так происходит, какие фиды стоит брать, а какие выкидывать, и как не превратить TI в генератор ложных срабатываний. Узнать подробности
https://habr.com/ru/companies/garda/articles/1032050/
#TI #фиды #индикаторы_компрометации #threat_intelligence #threat_intelligence_platform #Гарда_Threat_Intelligence_Feeds #сетевая_безопасность #информационная_безопасность
-
Смерть от тысячи алертов: как отфильтровать мусор из TI-фидов
Есть типовой путь, по которому команды приходят к разочарованию в Threat intelligence. Сначала кто-то в компании слышит, что фиды помогут раньше видеть атаки, быстрее реагировать, меньше пропускать. Потом кто-то другой берет пачку индикаторов из разных источников и по-быстрому заливает их в NGFW, прокси, SIEM или IDS. После СЗИ начинает сходить с ума: сыпятся алерты, в логах всплывают легитимные сервисы, аналитики несколько дней разгребают мусор… В итоге всё это счастье переводят в режим «только мониторинг», чтобы ничего не сломать. В результате напрашивается вывод: Threat intelligence — это, конечно, модно, но нам не нужно и вообще больше похоже на дорогую игрушку для крупных SOC. Вот только проблема не в TI, а в том, что сырые фиды никто не должен использовать в проде. Под катом разбираемся, почему именно так происходит, какие фиды стоит брать, а какие выкидывать, и как не превратить TI в генератор ложных срабатываний. Узнать подробности
https://habr.com/ru/companies/garda/articles/1032050/
#TI #фиды #индикаторы_компрометации #threat_intelligence #threat_intelligence_platform #Гарда_Threat_Intelligence_Feeds #сетевая_безопасность #информационная_безопасность
-
Киберразведка по-русски: как развивается отечественный Threat Intelligence
Киберразведка по-русски: как развивается отечественный Threat Intelligence Сфера CTI — киберразведки — в России активно развивается, но разобраться в отечественных решениях бывает непросто. Как инженер-исследователь и энтузиаст этой темы, я изучил 10 ключевых TI-продуктов: от Kaspersky и PT ESC до R-Vision и Garda TI. В статье — функциональное сравнение, советы по выбору, особенности для КИИ, а также взгляд в будущее: отраслевые центры, обмен разведданными, роль AI. Рекомендации, интеллект-карта, наглядные таблицы — всё для того, чтобы TI в России стал ближе и понятнее.
https://habr.com/ru/articles/933642/
#cti #киберразведка #ioc #apt #фиды #кии #цифровой_суверенитет #threat_intelligence #фстэк #187фз
-
На шаг впереди: как Threat Intelligence раскрывает возможности SIEM, IRP и SOAR
В условиях постоянно растущих киберугроз и увеличивающегося объема данных, компании сталкиваются с необходимостью эффективного управления инцидентами безопасности. Для решения этой проблемы используются инструменты по типу SIEM , SOAR и IRP , а в крупных компаниях, как правило, используют сразу комплекс систем от разных вендоров, формируя эшелонированную защиту от сложных угроз информационной безопасности. Эти решения играют важную роль в построении стратегии киберзащиты компании, эксперты даже скажут, что это те решения безопасности, без которых компании не смогут выжить. Но если разбираться глубже, становится очевидно, что камнем преткновения всех этих систем становится некачественное обогащение, дефицит и замкнутость источников данных (Фиды данных/Feeds), которыми оперируют системы для выявления и реагирования на угрозы внутри периметра организации.
https://habr.com/ru/companies/f_a_c_c_t/articles/858176/
#SIEM #SOAR #IRP #threat_intelligence #кибберразведка #фиды #киберугрозы