Исследования как операционный сервис

В докладе будет рассказано о процессной организации операционного сервиса "Охота на угрозы". Излагаемые подходы можно легко взять на вооружение и использовать при построение собственных подразделений мониторинга и поиска угроз.

00:06 О теме доклада

01:50 О целях презентации

03:28 О двух направлениях совершенствовании при использовании SOC

03:58 Подробно о технологическом совершенствовании

06:22 MDR и MSSP: «обычные» и «продвинутые» угрозы

08:05 Об «alerting» и «hunting»

09:44 Что нужно для поиска угроз?

10:46 Об источниках угроз

12:38 Полезные ссылки на продукты

13:40 Детально об автоматизации активного поиска угроз. Опыт компании спикера

16:18 Перечень событий, полезных для анализа

16:58 Воронка обработки

19:27 Об обогащении событий EDR репутацией. Пример из практики спикера

21:45 Об обогащении EDR данными EPP

25:09 Пример комбинирования AM-детектов с поведением

25:52 Об атрибутах ACCESS TOKEN операционной системы. Как этим пользоваться?

27:23 Атрибуты файловой системы - легковесная форенсика при анализе событий. Примеры использования

31:09 Атрибуты VERSIONINFO. Пример поиска процессов из переименованных файлов

31:47 Как обнаружить эксплуатацию специальных возможностей

32:19 Альтернативный поток ZONE.IDENTIFIES

33:19 Об HTTP соединении и загрузке контента по HTTP

33:58 Анализ контента, полученного по почте

34:15 Пример экспресс-форенсики

35:03 А вас ломали «кобальты»? События операционной системы - важный источник информации

36:22 О «модных атаках»: обнаружение атак на Kerberos на основе анализа параметров билетов

37:45 «Если вы делаете события, обязательно подумайте о том, как связать их между собой»

38:07 TTP-BASED на основе «хантов» (детекторов)

38:35 Идея и свойства «ханта»

39:08 «Ханты» и техники MITRE ATT&CK. Примеры реальной атаки

43:10 Операционные исследования vs AD-HOC

43:45 Визуализация инфраструктуры анализа угроз

45:17 Схема цикла данных об угрозах

47:20 О контексте угрозы и контексте среды. Взаимодействие команд

49:23 Маршрутизация по точности

50:08 Какой бывает TI и для кого?

50:30 Цикл реагирования на инциденты в MDR

51:33 Что почитать про измерение эффективности людей: полезные ссылки

52:09 Для чего нужна «фиолетовая команда»?

53:28 Безопасность - это процесс, в основе которого лежат уникальные исследования

54:50 Вопрос: что означает термин «вердикт», который вы использовали?

56:21 Вопрос: как работает ваш сервис с точки зрения отказоустойчивости?

59:00 Вопрос: где крупные компании могут брать мощности под новые задачи?

1:00:53 Вопрос: почему, несмотря на работу вашей компании, угроз кибератак становится все больше и больше?

1:03:37 Вопрос: ваш сервис умеет blockchain?