ВЕБИНАР: КАК ОРГАНИЗОВАТЬ РАБОТУ С ИСКЛЮЧЕНИЯМИ/FALSE POSITIVE ДЛЯ КОРОБОЧНОГО КОНТЕНТА В MPSIEM

Дата: 19.04.2022. Автор: ДиалогНаука. Категории: Подкасты и видео по информационной безопасности

ТЕЗИСЫ:
На вебинаре рассмотрели основные правила и лайфхаки работы с коробочным контентом на примере MPSIEM.
Разобрали типичные кейсы и основные сложности, возникающие у пользователей в работе.

Многие современные SIEM-решения предоставляют пользователям пакет правил нормализации и корреляции «из коробки», либо в виде паков для быстрой настройки и запуска системы в эксплуатацию.
Это удобная и ценная экспертиза от вендора, однако у медали есть и обратная сторона – возникающая лавина инцидентов и false-positive сработок при некорректной донастройке и кастомизации правил.

ПРОГРАММА:
• Summary по текущей версии
• Краткий обзор коробочного контента (+краткий экскурс в «Пакеты экспертизы»)
• Установка/удаление правил, основываясь на подключённых источниках
• Корректировка параметров сработки в правилах корреляции
• Работа с табличными списками
• Использование группировки полей для более быстрого поиска фолзящих хостов
• Работа со списком «MITRE_ATTCK_whitelist» из интерфейса
• Остальные Best practices по работе с исключениями

СПИКЕРЫ:
Валерий Горбачев, Руководитель направления внедрения средств защиты информации, АО ДиалогНаука
Роман Ванерке, Технический директор, АО ДиалогНаука

Об авторе ДиалогНаука

«ДиалогНаука» - системный интегратор, консультант и поставщик комплексных решений в сфере защиты информации.
Читать все записи автора ДиалогНаука

Добавить комментарий

Ваш адрес email не будет опубликован.