Детектирование дампа памяти процесса LSASS. SOC наносит ответный удар

Привет, я @Gamoverr, работаю аналитиком угроз в Ангаре Секьюрити. А теперь к делу!Angara SOC спешит дополнить статью наших коллег из RedTeam по разбору методик дампа памяти процесса LSASS. Мы рассмотрим эту тему со стороны защиты и методик детектирован…

Чего хотят клиенты: обновить старый SOC или построить новый, и почему к мониторингу не стоит подключать всё и сразу

Мы начинаем серию постов «Чего хотят клиенты». В них мы собрали самые популярные запросы, с которыми к нам, как к сервис-провайдеру ИБ, приходят различные компании, желающие подключить свою инфраструктуру к Security Operations Center (SOC). С какой бы …

Лучшие практики MITRE для построения SOC

Привет, Хабр! Меня зовут Гриша. В компании R-Vision я занимаюсь внедрением наших продуктов, которые, как правило, сопровождаются созданием сопутствующих процессов. Достаточно часто в своей практике я пользуюсь MITRE. В этой статье хочу поделиться своим…

OpenSource NTA для безопасника

Привет, хабр! Уже многое было рассказано об анализе сетевого трафика, например с помощью suricata или snort, но что делать, если контекста алертов IDS\IPS все еще не хватает для полноценного анализа?Под катом — обзор opensource NTA – Arkime (в прошлом …

[Пятничное] Про Горыныча, Васю и мужиков с ломом

О том, что обеспечение безопасности не ограничивается защитой периметраСлучалось ли вам объяснять, скажем, бухгалтерии, что такое сервер? Мне – да. И что такое СХД – тоже. «Представьте, — говорю, — что вы готовите борщ. Овощи – ваши данные. Вы их порез…

Как облачный провайдер помогает выстроить комплексную защиту от киберугроз

Во многих компаниях, использующих облако, не хватает сотрудников, которые умеют отслеживать угрозы. Даже если специалисты по безопасности есть, векторы атак на инфраструктуру, размещенную в публичных облаках, настолько отличаются от угроз для локальной…