🧭 Чтобы не заблудиться в мире событий информационной безопасности, их нужно уметь структурировать. Какими инструментами для этого можно пользоваться в SIEM-системах? Разбираемся вместе с Михаилом Максимовым, ведущим экспертом департамента развития технологий Positive Technologies, который посвятил этой теме статью на Хабре: https://vk.cc/cvNyI8 🗂 Что нужно упорядочивать В любой SIEM-системе есть журнал, куда попадает информация обо всех событиях внутри нее: успешном входе пользователя, выдаче новых прав доступа, запуске исполняемого файла и многом другом. По журналу можно восстановить картину происходившего в определенный промежуток времени или проконтролировать, что все процессы идут по запланированному сценарию. Но есть проблема: информацию о событиях SIEM-система получает из разных источников, и, если ее никак не упорядочивать, в журнале будет отображаться большой «зоопарк» разношерстных данных, с которым сложно работать. 👍 Как с этим справиться При помощи правил нормализации — одного из видов экспертизы SIEM-систем. Они позволяют привести все события в единообразный и удобочитаемый вид, со структурированным отображением всей необходимой пользователю информации. Например, в MaxPatrol SIEM для разработки правил нормализации, корреляции и обогащения используется язык eXtraction and Processing (XP), созданный в Positive Technologies. О том, как с его помощью структурировать события с нужными вам параметрами, подробно и с примерами рассказали в статье: https://vk.cc/cvNyI8 #MaxPatrolSIEM #PositiveЭксперты