RU

Как мы строили свою базу данных о киберугрозах для LLM-агентов и SOC

Сначала задача звучала просто: складывать PDF, CVE и статьи по кибербезопасности в одну базу, затем давать LLM-агенту подходящие фрагменты через HTTP …

Threat intelligenceкибербезопасностьбаза данныхсбор IOCSOCSIEMLLMmeteor
Habr
RU

Как SOC в ритейле связывает кибербезопасность и антифрод

Привет, Хабр! Когда заходит речь о SOC, в голове обычно всплывает техническая картина: вредонос на рабочей станции, фишинговое письмо, подозрительные …

мвидеоэльдорадоИБSOCsocketзащита информациизащита инфраструктурызащита инженерных данныхзащита данных
Хабр — Управление
RU

Ошибки триажа алертов: почему ваш SOC пропустит реальную атаку прямо сейчас?

В SOC реальная атака редко приходит с табличкой «срочно расследовать»: чаще она маскируется под очередное ложное срабатывание, которое уже сотни раз з…

SOCsecurityтриаж алертовsiemdetection-as-codekill-chain
Habr
RU

Как я приручил Wazuh: от сотен ложных срабатываний к рабочему набору правил

Wazuh – это open-source SIEM, который собирает логи, детектирует подозрительную активность и умеет на неё реагировать. Инструмент хороший, но дефолтны…

WazuhSIEMSOCмониторинг безопасностиложные срабатываниялокальные правилаанализ логовобнаружение вторженийинформационная безопасностьwazuh-logtest
Habr
RU

Как CISO защищаются от прошлого, игнорируя будущее

Большинство CISO готовятся к прошлой атаке. После громкой утечки компании срочно закупают новый EDR, донастраивают SIEM и усиливают антифишинг, х…

CISOинформационная безопасностькибербезопасностьthreat intelligenceИБ-инцидентытехдолг ИБуправление рискамиRed TeamSOCбюджетирование ИБ
Habr
RU

ISO/IEC 27001:2022 и MITRE ATT&CK в современной архитектуре кибербезопасности: почему их нельзя противопоставлять

Архитектурный конфликт между ISO/IEC 27001:2022 и MITRE ATT&CK во многом искусственен. Современная кибербезопасность требует интеграции governance…

ISO IEC 27001 2022MITRE ATT CKSOCDFIRDetection EngineeringThreat-Informed DefenseCybersecurity Governance
Habr
RU

История одного инцидента, или почему не стоит публиковать 1С

Всем привет, на связи команда DFIR JetCSIRT! Недавно мы столкнулись с кейсом, где злоумышленники были обнаружены на ранних этапах атаки. Они не успели…

RansomwareDFIRФорензикаForensicsинформационная безопасностьвредоносное ПОSOCиб