Работа с массивами IP-адресов в pandas с помощью cyberpandas
Основываясь на ExtensionArray интерфейсе, cyberpandas предоставляет два новых типа: один для данных IP-адреса и один для данных MAC-адреса.
Пример см. в Блокноте
Позднее
Ctrl + ↑
SOC (security operations center) — центр управления информационной безопасностью (ИБ). Основными задачами SOC является осуществление мероприятий по мониторингу и реагированию на инциденты ИБ
Вышла расчудесная статья про Python и вредоносное ПО от Austin Jackson. Особенно радуют ссылки! Побежал читать
Сериалы и книги — ноябрь 2020
Начну с сериала Святой Майк, 2 сезона.
Давно так не смеялся.
Удачный подбор актеров, все на своем месте.
О чем сериал?
Мошенник Майк (Даниэль Донской), сбегая от полиции, переодевается в рясу католического священника и останавливается в маленьком городке (по названию это тут, но уж слишком красиво), где его принимают за нового пастора.
Временами сериал выглядит наивно, но при этом очень трогательно.
В какой-то момент я перестал смотреть унылые драмы про абьюзивные отношения в российской глубинке и перешел на добрые фильмы.
Теперь перемещаемся в Швецию, на родину Икеи и Minecraft, где Фредрик Бакман выпустил очередной психологический роман «Тревожные люди». Рекомендую все его книги.
Сюжет.
«За один день до Нового года незнакомые друг с другом ранее восемь зевак разного возраста и социального статуса идут на просмотр квартиры, куда внезапно влетает грабитель. Люди становятся заложниками человека в балаклаве, который для преступника ведёт себя достаточно странно: ничего не требует и даже разрешает заказать в квартиру пиццу. Впрочем, заложники и другие очевидцы тоже оказываются людьми интересными, или, как обозначено в названии, „тревожными“ — каждый со своими тараканами» [подробнее].
Послушал книгу за выходные на одном дыхании. По ее мотиву получится отличная театральная постановка.
Подумал, что сериал и книгу объединяют хэппи энд.
Еще мне нравится, что Швеция вкладывает средства в рекламу, например...
«Героиня самого известного российского мультсериала отправляется в Швецию — чтобы найти Карлсона-на-крыше, познакомиться с викингами и разобраться, кто все эти люди в шведской семье.»
Все серии по ссылке.
Завершаем путешествие на диване зажигательными треками.
Аналитик SOC
SOC (security operations center) — центр управления информационной безопасностью (ИБ). Основными задачами SOC является осуществление мероприятий по мониторингу и реагированию на инциденты ИБ.
Выявление инцидентов ИБ производится путём анализа различных событий, генерируемых системами корпоративной инфраструктуры: системами защиты информации, информационными системами, сетевым оборудованием, технологическим оборудованием, рабочими станциями пользователей, серверами и т. д.
В крупных организациях приходится обрабатывать десятки и даже сотни миллионов событий в день, поэтому мониторинг в таком объёме без автоматизации невозможен. Как правило, в качестве ядра комплекса программного и аппаратного обеспечения используются системы класса SIEM.
Security information andevent management (SIEM) — это централизованная система сбора, анализа и хранения событий. SIEM позволяет визуализировать данные, выявлять нарушения по определённым правилам и оповещать ответственный персонал [1].
Аналитик SOC — человек, занимающийся анализом событий, выявлением и реагированием на инциденты ИБ.
Существует два основных сценария мониторинга событий ИБ: Alerting и Hunting.
Alerting — метод, при котором поиск признаков различных атак осуществляется по разработанным правилам. Основную задачу по выявлению осуществляют средства защиты информации (СЗИ) либо SIEM. Результатом работы систем является событие о возможном инциденте ИБ с определённой точностью — подозрение на инцидент ИБ. Оно требует ручной обработки аналитиком SOC с целью подтверждения или опровержения конкретного события.
Hunting — метод анализа событий путём выявления нетипичной активности в работе определённых информационных систем, сетевом трафике и прочих событиях, обрабатываемых при мониторинге. Осуществляется преимущественно «вручную» опытными специалистами. Основная цель — выявление инцидентов ИБ, которые не могут определить текущие средства защиты информации (СЗИ) в автоматическом режиме [1].
Рисунок [2]
При выявлении инцидента ИБ аналитик осуществляет его классификацию и регистрацию в системе учёта. Процесс реагирования в общем случае преследует цели:
— подтвердить или опровергнуть факт инцидента ИБ;
— осуществить сдерживающие мероприятия: отключение хостов от сети, ограничение доступа атакующих к системам и прочее;
— собрать подробную информацию об инциденте, определить все источники и цели;
— устранить инцидент ИБ;
— определить степень влияния инцидента ИБ на затронутые бизнес-процессы;
— составить отчётность по инциденту ИБ;
— формировать перечень рекомендаций по исключению подобных инцидентов в будущем и принять участие в их реализации.
Источники:
- Как стать аналитиком SOC
- Как стать SOC-аналитиком
- Модель зрелости SOC
- Видео «Окно Джохари в ИБ»
- Обнаружение атак
- Управление инцидентами и событиями информационной безопасности
- Методология и практика создания SOC
- Технологии обнаружения компьютерных атак
- Управление информацией и событиями безопасности (SIEM) и Log Management
OpenIOC — это формат для описания индикаторов компрометации (IOC), созданный Mandiant (теперь FireEye
Ранее
Ctrl + ↓