Delonce Mar 11 at 10:56

Эффективное управление контентом SOC: рассказываем про SDL Content Manager

Medium

10 min

857

STEP LOGIC corporate blogInformation Security*System administration*Machine learning*System Analysis and Design*

Review

+11

Comments 6

Shaman_RSHU Mar 11 at 23:10

Насколько увеличивается время выявления инцидента при использовании данной технологии?

Delonce Mar 12 at 10:47

SDL Content Manager напрямую не влияет на скорость выявления инцидентов, так как их обнаружение подразумевает наличие контента в системе мониторинга (правила корреляции и сопутствующие сущности). Однако, SCM позволяет значительно ускорить процесс загрузки и обновления контента, в том числе для обнаружения новых инцидентов, что позволит ускорить их выявление

Shaman_RSHU Mar 12 at 13:15

Насколько в таком случае увеличивается процент регистрации False Positive инцидентов?

Delonce Mar 12 at 13:40

Прямой связи между процентом регистрации False Positive инцидентов и внедрением SCM нет, так как первое зависит от наполнения конкретных правил корреляции. Но в нашем модуле предусмотрена валидация контента - проверка его на соответствие базовым требованиям, что позволяет на этапе его формирования отследить возникновение различных ошибок, в том числе и таких, которые в последствии могут привести к False Positive регистрации

Delonce Mar 12 at 11:44

Например, загрузка правил обнаружения вручную может занимать от 30 минут, тогда как SCM справится с этой задачей за 20 секунд.

Delonce Mar 12 at 11:45