Как расследуют кибератаки: полный разбор Incident Response

[thxStuck]

Не знаю, как будто прям вот поверхностная ИИ выжимка. Ну то есть ты читаешь, допуская что человек это сам писал, а оно какое-то вот максимально пресное. Почему условно в рекомендация не написано строить СОК, но заниматься TI надо. Касаемо даже того же сока - ну вот пришел бизнес на эту статью, такой о нифига нам нужен SOC и че и где его строить. Вот даже мониторинг - че мониторить то будем? Все сегменты? А Все - это какие? И вот мы получаем что на самом деле нам бы по хорошему инвентаризировать инфру. Наверное сразу все подрубить мы не сможем - скорее всего у нас сил не хватит. Значит надо определить что для нас важнее. А теперь прикиньте если сети нет? Значит еще и перестроить все надо - а пока перестраиваете получается хакеры не нападают? И вот получается что чета под мониторинг, где-то пройтись повключать дефендоры, где-то поставить антивирусы, проходиться смотреть что юзеры новые не появились, антивирусы не повырубали и попутно строить сеть. К чему я это все? В статье все так расписано будто это вот пальцем щелкни и все. Если они начали строить безопасность - значит они встали на тяжелый и дорогой путь, в котором простых решений не будет. И если писать такую статью - то как будто бы это тоже проговаривать надо. Кстати процесс расследования инцидентов и без СЗИ класа СИЕМ возможен.

[CIOlogia]

Благодарю за коммент, учту комментарий и рекомендации!