Системы класса SIEM традиционно используются для сбора событий ИБ с источников и выявления подозрительных активностей в этих событиях. Однако, системы SIEM можно также использовать в качестве ядра для комплекса автоматического реагирования на выявленные угрозы. По сути, мы получаем некий аналог Intrusion Prevention System. В качестве нашего рабочего инструмента у нас традиционно будет Wazuh. В предыдущих статьях мы уже рассмотрели написание правил нормализации и корреляции для данного SIEM, и теперь мы можем смело подключить любой источник, в котором есть журналы событий и написать любые правила корреляции.
В качестве подозрительной активности, которую нам надо предотвратить мы рассмотрим атаку на веб ресурс. Вот лишь несколько примеров таких активностей на веб сайтах.
Хабр, привет! Я снова пришёл к вам со статьёй, где показываю мои любимые техники вёрстки.…
Привет, друзья! В этой серии статей мы разбираем структуры данных и алгоритмы, представленные в этом…
Для некоторых задач, связанных с обновлением данных в реальном времени — например, новостные ленты, уведомления…
Со времён появления контекстной рекламы маркетологов не перестаёт мучить вопрос:"А есть ли смысл вести контекст по…
Накануне в прямом эфире прошла большая презентация новой техники от компании Apple. Команда Тима Кука…
10 новых российских сервисов для нарезки шортсов при помощи ИИ, публикации в цифровых СМИ, авто-ответов…