BI.ZONE Процесс разработки правил обнаружения и корреляции из TH. От 19.11.19

Интересное выступление Теймура Хеирхабарова, руководителя Центра мониторинга и реагирования на киберугрозы компании BI.ZONE, на SOC-Форуме.

Рассказал про свой Agile процесс сбора, анализа, написания правил корреляции и аркестрации их на множестве SIEM.

В качестве источников: публичные источники (twitter, блоги, конференции, отчеты об угрозах), собственная практика SOC, хонейпоты. Далее все это попадает в бэклог разработки, где приоритизируются, отбираются в спринт и далее обрабатываются.

Далее все обрабатывается в собственном use-case портале

В процессе обработки используют собственный фреймворт BI.ZONE Breach & Attack Simulation в котором скриптами можно эмулировать атаки для тестирования сигнатур.