Мониторинг событий безопасности с SIEM: философия и практика

В последние два года хакерские атаки на российские компании не только участились, но и стали гораздо более мощными и изощрёнными. За каждой «удачной» атакой — потеря денег, данных, штрафы от регулятора и репутационные риски для компаний. Сегодня говорим про мониторинг событий безопасности с помощью SIEM: что это, зачем и как правильно применять. В этом эпизоде обсуждаем: нужно ли отдельно строить мониторинг событий безопасности и для чего; как оценивать эффективность инструментов мониторинга и нужно ли проверять их на практике, а главное — как это сделать; за что отвечают специалисты SOC и где они обитают. А также — с чего начать если нужно внедрить систему мониторинга и как это сделать, если вы в облаках? Ведущие: · Антон Черноусов: Developer Advocate Yandex Cloud · Алексей Миртов: Руководитель группы продуктов Security & Compliance Yandex Cloud Гости: · Алексей Леднёв: Руководитель отдела обнаружения атак экспертного центра безопасности Positive Technologies · Илья Маркелов: Руководитель направления развития единой корпоративной платформы «Лаборатории Касперского» Если вы используете системы управления информационной безопасностью и событиями безопасности у себя, хотите поделиться опытом или задать нам вопрос, предложить свои темы для новых эпизодов или позвать экспертов, которым доверяете — напишите об этом в комментариях на YouTube или по адресу: cloudpodcast@. 🎧 Подкаст доступен в аудио-версии: - Яндекс Музыка: - Apple Podcasts: - Google Podcast: - : - : 📍Что в выпуске: 00:00 Краткое содержание 00:50 Представляем участников выпуска 02:17 Сегодня говорим о том, как должен работать мониторинг событий безопасности, обсуждаем SOC, SIEM и другие интересные аббревиатуры 03:10 Я директор средней компании. Зачем мне SOC и что это вообще такое? 06:20 Что конкретно защищаем и какие процессы не должны останавливаться 08:30 Как подойти к SIEM и почему мы снова приходим к SOC 13:58 Простыми словами о SIEM: как мы это понимаем 15:50 У разных SIEM разная философия. Какая у вашей? 21:01 Как подготовиться к тому, что ещё не произошло, но может 22:40 Решили внедрять. А с чего начинать? 28:55 Переходим в специфику облака: ещё один слой событий безопасности 32:20 Откуда приходят данные и как их правильно готовить 36:20 Советы разработчикам приложений 39:35 Безопасность как сервис 45:07 SIEM в облаке: да или нет? 51:06 Опенсорсные SIEM: нет или да? 58:59 На что стоит обратить внимание, если решите внедрять SIEM у себя