Привет. Меня зовут Андрей Урывко, я инженер ИБ.

Это цикл статей о том, как мы перешли с Wazuh на коммерческий SIEM, а затем построили цепочку автоматизации обработки алертов с использованием IRIS (case management), Cortex, MISP и n8n.
В предыдущей части статьи об Интеграция SIEM с IRIS, Cortex, MISP, n8n я рассказывал о том, почему мы перешли с Wazuh и о том, как установить все необходимые приложение и подключить SIEM к n8n. В этой части я покажу:

Базовую настройку IRIS;

Логику обработки события «переход по опасной ссылке»;

Добавление активов в кейс IRIS.

Привет. Меня зовут Андрей Урывко, я инженер ИБ.

За несколько месяцев эксплуатации Wazuh я упёрся в классическую для небольших SOC проблему: рост числа алертов при отсутствии ресурсов на их обработку. При 150–200 оповещениях в день и одном инженере в штате значительная часть времени уходила на ручную проверку однотипных сработок, а развитие инфраструктуры фактически остановилось.

В этой статье я расскажу, как мы перешли с Wazuh на SIEM, а затем построили цепочку автоматизации обработки алертов с использованием IRIS (case management), Cortex, MISP и n8n.

Это будет цикл статей, в котором я последовательно разберу построение цепочки автоматизированной обработки инцидентов