Комментарии 4
SOC должен детально понимать инфраструктуру компанииНа мой взгляд, самая сложная задача. Практически недостижимая.
Если у компании больше пяти-десяти тысяч хостов и обширная география, проблематично опуститься глубже разбиения на подсети и отдалённого, очень приблизительного, понимания, для чего они нужны.
Вы абсолютно правы, задача действительно очень сложная, но, как правило, детализация нужна вокруг критичных систем и данных, там важны нюансы. А общие пользовательские сети для оценки защищенности зачастую достаточно описать в «крупную клетку». Именно поэтому мы рекомендуем начинать с общего описания (филиал такой-то, dmz в ИА, VPN-пул, сеть АРМ КБР). Все остальное по мере возникновения инцидентов попадает в условную зону Unknown, и в момент анализа инцидента заодно уточняется информация.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
SOC for beginners. Задачи SOC: контроль защищенности