portland144 Sep 25 2023 at 11:30

Автоматизация безопасности с разнообразием матриц MITRE

Medium

9 min

3.9K

Security Vision corporate blogInformation Security*IT Infrastructure*Product Management*System Analysis and Design*

Review

+13

Comments 4

Protos Sep 26 2023 at 08:32

Жаль про автоматизацию не сказано ничего

portland144 Sep 28 2023 at 00:21

Привествую. Если технически потходить к данному вопросу, то в целомя с вами согласен, но надо иметь ввиду что описывать полноценный цикл мапингов, корреляции и большого количества возможных операций связанных с полным циклом автоматизации, как по мне - это будет, по сути, большой документ описывающий SOAR систему, здесь же я старался как некий пользователь - исследователь, показать полезность автоматизации с помощью системы SOAR/IRP, которая поможет разобраться с большим количеством разносторонних данных (Описав их значимость) и сконцентрировать их в одну систему. Но учту замечание и постараюсь в следующих статьях учитывать более внутренний технический анализ.

NightAdmin Sep 26 2023 at 15:15

SIEM/SOAR продукт Microsoft Sentinel представляет MITRE ATT&CK матрицу с отмеченным количеством аналитических правил (Analytic rules), которые уже сконфигурированы для обнаружения конкретной атаки.Очень удобно для наглядности.При написании собственных правил можно выбрать соответсвующую TTP.

portland144 Sep 28 2023 at 00:23

Согласен! Приветствую более того некоторые вендора (Пример Аномали) дают визализацию, некую горячую карту техник Митре выявленных в инфраструктуре, то есть количества техник которые были присены с той или иной СЗИ.