Слайд 2
ПАРАДОКС ДОГОНЯЮЩЕГО ЧЕЛОВЕКА
Слайд 3
ЧТО ТАКОЕ TI?
Знания о киберугрозах и злоумышленниках, позволяющие снизить либо ликвидировать
риски в
киберпространстве
Стратегический
Операционный
Тактический
Технический
Уровни TI
Слайд 4
Слайд 5
Слайд 6
СТРАТЕГИЧЕСКИЕ ИНДИКАТОРЫ
Слайд 7
ИСПОЛЬЗОВАНИЕ
СОБРАННОЙ ИНФОРМАЦИИ
Слайд 8
ИСПОЛЬЗОВАНИЕ
СОБРАННОЙ ИНФОРМАЦИИ
Идентификация инцидентов
Ситуационная осведомленность
Слайд 9
НАЙТИ СВОИ УНИКАЛЬНЫЕ ИСТОЧНИКИ ДАННЫХ
Слайд 10
TI ДЛЯ ГЕНЕРАЦИИ ИНЦИДЕНТОВ
Исторические сырые события
Match
TIP
Хранилище индикаторов
DGA
Ретро
Обнаружение
Хранение ретро
Слайд 11
ПРИМЕР РЕТРО-АНАЛИЗА ИНЦИДЕНТА И ОБОГОЩЕНИЯ
Инциденты лишены контекста если:
CVE (Log4Shell)
Обратный туннель
Команды
Шифрование
Шифрование
Слайд 12
РАССЛЕДОВАНИЕ ИНЦИДЕНТА
Инцидент
из SIEM
Найден хэш
Найдено ВПО
Найден злоумышленник
IoC ip 1
IoC ip n
IoC ip 2
Ретро-анализ
Инцидент 1
Инцидент
2
Инцидент n
Обогащение
IoC Ключ реестра
IoC JARM
IoC Command Line
Ретро-анализ
Инцидент 1
Инцидент 2
Инцидент n
Слайд 13
ГРАФ СВЯЗЕЙ МЕТА-ИНЦИДЕНТА
Слайд 14
ЭТАПЫ РАБОТЫ
С ИНЦИДЕНТОМ
Новый
В работе
Обогащение
Оповещение
и реагирование
Закрытие
Слайд 15
ИСТОЧНИК ВДОХНОВЕНИЯ
В ПОСЛЕДУЮЩИХ АКТИВНОСТЯХ