Построение Security Operation Center (SOC)
Security Operation Center (SOC) является единой платформой для сбора, хранения и обработки информации о состоянии безопасности ИТ-инфраструктуры, уязвимостях и инцидентах ИБ
Для полноценного функционирования данной платформы, производится настройка агрегирования информации из различных источников, в том числе средств защиты информации, для дальнейшего ее анализа специалистами по информационной безопасности.
SOC строится на базе ELK SIEM и позволяет
-
01
Выявлять аномалии с помощью машинного обучения
-
02
Автоматически обнаруживать атаки с помощью готовых ATT&CK правил
-
03
Агрегировать события с конечных устройств (MacOS, *nix, Windows)
-
04
Агрегировать события с средств защиты информации
-
05
Собирать данные из журналов логирования веб-серверов, баз данных и других сервисов
-
06
Анализировать DNS трафик
-
07
Анализировать данные NetFlow
Результаты
-
Оперативное выявление угроз информационной безопасности
-
Автоматическое обнаружение аномалий
-
Непрерывный мониторинг внутренней инфраструктуры
-
Оповещение об угрозах информационной безопасности