|
Часть 4 – Итоговая КТ
|
1
|
Опишите своими словами, для чего нужен SOC на предприятии
|
Для реагирования на инциденты и поддержки контроля уязвимостей
|
2
|
Опишите своими словами, как вы понимаете основные задачи SOC
|
Мониторинг 24/7, реагирование и расследование инцидентов, внедрение средств защиты
|
3
|
Как вы будете достигать решения поставленных задач?
|
|
4
|
Для чего необходимы TTP?
|
Для понимания того, как мыслят атакующие
|
5
|
Как вы будете применять Killchain при расследовании инцидентов ИБ?
|
Killchain представляет собой типовое описание развития атаки, так что я буду применять его как некую подсказку, какие артефакты я могу найти в логах или системе.
|
6
|
Для чего необходимы метрики CVSS?
|
Для более объективной оценки опасности уязвимости
|
7
|
Как вы будете применять метрики CVSS при оценке опасности уязвимости?
|
Открою cvss расшифровку и исходя из информации по уязвимости составлю total score
|
8
|
Что такое стандарт ISO27001? Для чего он нужен?
|
Международный стандарт информационной безопасности
|
9
|
Что такое риск-ориентированный подход?
|
Это работа над снижением возможных рисков в компании
|
10
|
Перечислите основные шаги риск-ориентированного подхода
|
Определение ценности активов, расчет вероятности угроз, расчет вероятности возникновения риска реализации угроз, план по устранению рисков
|
11
|
Что такое SIEM? Как работает подобный класс решений?
|
Это система сбора и корреляции событий. На основе заданных правил выполняет корреляцию событий и превращает их в инциденты.
|
12
|
Может ли SOC существовать без SIEM? Обоснуйте свой ответ
|
В целом может, но из-за этого SOC теряет некоторые преимущества, например, несвоевременно будут получать информацию об инцидентах.
|
13
|
Вам необходимо внедрить SIEM-решение. Как вы будете, в общих чертах, это делать?
|
Обследую инфраструктуру, сформирую и утвержу ТЗ, установка и базовая настройка SIEM, подключение типовых источников событий, настройки правил корреляций, эксплуатация и корректировка настроек, переход в промышленную эксплуатацию.
|
14
|
Чем отличается NGFW от UTM?
|
UTM не хранит сырой трафик
|
15
|
Может ли NTA заменить средства межсетевого экранирования? Обоснуйте свой ответ
|
Нет, не может, так как они хранят информацию только об известных угрозах
|
16
|
Какие признаки инцидентов ИБ бывают? Опишите, в чем отличие разных признаков
|
IDS сигнализирует о множестве повторяющихся событий, сообщение об инциденте поступают сразу из нескольких источников, анализ журналов дает основания о возможном инциденте
|
17
|
Приведите пример последовательности действий по отработке инцидента информационной безопасности
|
Регистрация инцидента → анализ инцидента → реагирование на инцидент → пост-анализ
|
18
|
Как вы будете сокращать количество False-Positive инцидентов ИБ?
|
Корректировкой правил обнаружения
|
19
|
Какие типовые проблемы вендорских Playbook вы знаете?
|
Часто заточены под конкретную систему, часто встречаются обобщенный плейбуки, аутсорс SOC и его заказчики используют разные плейбуки, что приводит к неслаженным действия.
|
20
|
На что вы должны обратить внимание при составлении Playbook?
|
Проверки на false-positive, обогащение доп информацией, расширенный анализ.
|
21
|
Предположим, у вас стоит задача набрать группу «первой линии». Как вы организуете ее работу (с учетом каких особенностей), чтобы свести к минимуму риски пропуска инцидентов ИБ, выявленных средствами анализа?
|
-
|
22
|
Как вы будете оценивать эффективность плейбука?
|
Время реагирования, количество эскаляций за пределы ролей, количество возникающих нетиповых инцидентов, количество типовых инцидентов, которые не удалось устранить
|
23
|
Предположим, вы стали руководителем SOC в организации, где его никогда не было. Вам дали карт-бланш: любые деньги, любые средства. Организация имеет 8 филиалов в разных часовых поясах России. Как вы будете строить SOC? Опишите детально этапы и что на этих этапах вы будете делать
|
Понять, какие процессы есть в организации, а какие стоит внедрить.
Понять, что защищать
Все вывести в ТЗ и согласовать
Получить бюджет
Собрать команду (хотя бы основной костяк, чтобы те потом собрали команду под себя)
Описать внедряемые процессы, провести пилотирование инструментов
PDCA
|
24
|
Какие тематики курса вам показались недостаточно освещены?
|
-
|
25
|
На что вы посоветовали бы обратить больше внимания?
|
-
|
26
|
Какие пожелания к тематикам, которые следовало бы повторно осветить на завершающей лекции?
|
-
|
Скачать 23.81 Kb.