Как приоритезировать события в SOC?
На последнем PHDays, где я вел секцию
по SIEM, все участники сошлись во мнении, что правила корреляции из
коробки не работают и про них надо забыть сразу после покупки решения по
управлению событиями безопасности. С SOC ситуация ровно таже самая и
перед нами встает вопрос не только о том, как создать правила корреляции
событий, но и как приоритезировать эти события, попадающие в поле
зрения SOC. Как отсечь ложные срабатывания от реальных инцидентов?