19 апреля 2022 г. в 11.00 (мск) пройдет вебинар «Как организовать работу с исключениями/false positive для коробочного контента в MPSIEM и не сойти с ума».
На вебинаре рассмотрим основные правила и лайфхаки работы с коробочным контентом на примере MPSIEM. Разберем типичные кейсы и основные сложности, возникающие у пользователей в работе.
Многие современные SIEM-решения предоставляют пользователям пакет правил нормализации и корреляции «из коробки», либо в виде паков для быстрой настройки и запуска системы в эксплуатацию. Это удобная и ценная экспертиза от вендора, однако у медали есть и обратная сторона – возникающая лавина инцидентов и false-positive сработок при некорректной донастройке и кастомизации правил.
Спикеры:
- Валерий Горбачев, Руководитель направления внедрения средств защиты информации, АО ДиалогНаука
- Роман Ванерке, Технический директор, АО ДиалогНаука
Как организовать работу с исключениями/false positive для коробочного контента в MPSIEM и не сойти с ума
Дата проведения: 19.04.2022. Начало в 11:00
Место проведения: Онлайн
- Анонс
- Программа
- Участники
- Спикеры
19 апреля 2022 г. в 11.00 (мск) пройдет вебинар «Как организовать работу с исключениями/false positive для коробочного контента в MPSIEM и не сойти с ума».
На вебинаре рассмотрим основные правила и лайфхаки работы с коробочным контентом на примере MPSIEM. Разберем типичные кейсы и основные сложности, возникающие у пользователей в работе.
Многие современные SIEM-решения предоставляют пользователям пакет правил нормализации и корреляции «из коробки», либо в виде паков для быстрой настройки и запуска системы в эксплуатацию. Это удобная и ценная экспертиза от вендора, однако у медали есть и обратная сторона – возникающая лавина инцидентов и false-positive сработок при некорректной донастройке и кастомизации правил.
Спикеры:
- Валерий Горбачев, Руководитель направления внедрения средств защиты информации, АО ДиалогНаука
- Роман Ванерке, Технический директор, АО ДиалогНаука
- Summary по текущей версии
- Краткий обзор коробочного контента (+краткий экскурс в «Пакеты экспертизы»)
- Установка/удаление правил, основываясь на подключённых источниках
- Корректировка параметров сработки в правилах корреляции
- Работа с табличными списками
- Использование группировки полей для более быстрого поиска фолзящих хостов
- Работа со списком «MITRE_ATTCK_whitelist» из интерфейса
- Остальные Best practices по работе с исключениями
