Frage  |
Antworten |
|
Lernen beginnen
|
|
Proces analizy incydentu po jego wykryciu. Ustalenie źródła, zakresu, sposobu działania, wpływu ataku.
|
|
|
|
Lernen beginnen
|
|
Działania mające na celu zmniejszenie skutków incydentu lub zapobieganie jego powtórzenia w przyszłości.
|
|
|
|
Lernen beginnen
|
|
Monitoring, inwestygacja, tworzy reguły generuje alerty, podczas analizy logów wykrywa luki, generuje raporty dotyczące bezpieczeństwa. Identyfikuje i eliminuje fałszywe alarmy czyli False Positive
|
|
|
Metoda zbierania logów przez SIEM Lernen beginnen
|
|
-Agent/forwarder, -Syslog, -Port forwarding (nasłuchiwanie na porcie), CSV Upload
|
|
|
|
Lernen beginnen
|
|
jedna z metod zbierania logów przez SIEM, program zainstalowany na urządzeniu końcowym, który zbiera logi i wysyła je do systemu SIEM.
|
|
|
|
Lernen beginnen
|
|
jedna z metod zbierania logów przez SIEM, protokół sieciowy do przesyłania logów z urządzeń (np. routerów) do SIEM, działa w czasie rzeczywistym.
|
|
|
|
Lernen beginnen
|
|
port-forwarding (nasłuchiwanie na porcie), jedna z 4 metod zbierania logów przez SIEM. SIEM może nasłuchiwać na określonym porcie i odbierać logi wysyłane przez urządzenia.
|
|
|
|
Lernen beginnen
|
|
CSV Upload, jedna z metod zbierania logów przez SIEM, ręczne wgrywanie plików z logami (np. CSV) do SIEM używane do analizy danych z systemów niepołączonych na stałe.
|
|
|
SIEM marki oprogramowania Lernen beginnen
|
|
przykłady SIEM: -Splunk, -Wazuh, -IBM QRadarz -Elastic Security, -McAfee enterprise Manager, Fortinet FortiSIEM
|
|
|
|
Lernen beginnen
|
|
SIEM zbiera dane z: EDR, AV, firewall, systemy operacyjne, serwery, bazy danych, inne narzędzia bezpieczeństwa. CENTRUM DOWODZENIA ZBIERA DANE Z RÓŻNYCH ŹRÓDEŁ
|
|
|
|
Lernen beginnen
|
|
SOAR Security Orchestration, Automation and Response -taki robot, który automatyzuje zadania np. SIEM wykrywa logowanie z Rosji, SOAR sam sprawdza IP w bazie, wysyła @ do analityka, tworzy ticket, blokuje IP w firewall. Demisto zPalo Alto, Phantom zSplunk
|
|
|
|
Lernen beginnen
|
|
SIEM wykrywa zagrożenie -> SOAR sprawdza, powiadamia, blokuje i dokumentuje incydent. SIEM widzi zagrożenie i daje dane, SOAR działa automatycznie i reaguje. SIEM + SOAR = potężne combo w SOC, oszczędza czas
|
|
|
|
Lernen beginnen
|
|
XDR Extended detection and response, system do wykrywania i reagowania. bierze dane: endpointy, sieć, chmury, e-mail itp. np Microsoft defender, Palo alto networks Cortex XDR
|
|
|
