CTEM для внешнего периметра

Привет, Хабр! Я Айдар Фатыхов, менеджер продуктов в Innostage. Хочу разобрать практическую задачу, с которой регулярно сталкиваются ИБ-команды крупных компаний: защита самой горячей точки в инфраструктуре – внешнего сетевого периметра. Отчёты по уязвимостям растут, поверхность атаки постоянно меняется и увеличивается, рук для закрытия рисков постоянно не хватает и ясного ответа, что закрывать в первую очередь по внешнему периметру нет. И вроде бы внедряются технические средства, различные сканеры, межсетевые экраны, WAF и другие средства, но во многих случаях проблема не в отсутствии инструментов, а в разрыве между выявленными уязвимостями и бизнес-ценностью активов, фрагментированной работой с данными разных средств защиты, и в отсутствии правильного сведения в единую картину данных от внешних и внутренних сканеров. Дальше разберу, как подойти к этой задаче с помощью фреймворка CTEM: связать результаты обнаружения с контекстом и телеметрией, получить управляемые приоритеты и доводить устранение до подтверждённого результата через повторную проверку. Почему именно периметр? Перед тем, как переходить к методологии, важно зафиксировать, почему внешний периметр почти всегда оказывается в фокусе. Периметр меняется быстрее всего. Появляются новые сервисы, конфигурации правятся, порты открываются и закрываются, где-то всплывают временные стенды и пилоты. И значительная часть рисков возникает именно на стыке изменений и контроля. По итогам 1-го полугодия 2025 года наши эксперты Innostage SOC CyberART зафиксировали рост OSINT-инцидентов на 50% почти до 10 тысяч. При этом более 70% таких инцидентов было связано с изменениями на периметре: открытие портов, смена конфигураций сервисов, появление новых ресурсов или изменения сведений о существующих. Это важный сигнал: периметр часто уязвим не только из-за конкретной уязвимости, а из-за неуправляемых изменений и слабого контроля того, что именно и как выставлено наружу.

https://habr.com/ru/companies/innostage/articles/995384/

#CTEM #Внешний_сетевой_периметр #управление_уязвимостями #ASM #Приоритизация_рисков #SIEM #телеметрия_безопасности #Проактивное_управление_угрозами #threat_intelligence #osint

OpenSource XDR/SIEM "Wazuh" v4.14.3 released

https://secburg.com/posts/wazuh-4143-released/

#xdr #siem #wazuh #opensource #security

Почему коммерческий SOC — это не Netflix: что нужно знать перед подключением мониторинга

Вы подписали договор с коммерческим SOC и думаете, что теперь можете выдохнуть? Не спешите. Многие компании покупают мониторинг безопасности как сервис — в надежде, что он решит все их проблемы. А получают долгие созвоны, неожиданные проблемы с инфраструктурой и звонки аналитиков в три часа ночи, в тот момент, когда отвечать просто некому. Привет! Это Кирилл Рупасов, технический директор SOC. В этой статье мои коллеги из

https://habr.com/ru/companies/k2tech/articles/994340/

#soc #коммерческий_soc #мониторинг_безопасности #реагирование_на_инциденты #siem #источники_логов #sla #инвентаризация_активов #зрелость_иб #регламент_взаимодействия

🔍 Wazuh: A Solução SIEM Ideal para sua Empresa! 🛡️

O Wazuh é uma plataforma open source que oferece monitoramento de segurança robusto e resposta a incidentes. Com funcionalidades de SIEM e XDR, ele garante proteção em tempo real para ambientes on-premise e na nuvem, ajudando sua empresa a detectar e reagir rapidamente a ameaças.

👉 Descubra como o Wazuh pode fortalecer sua segurança: Wazuh: O SIEM Certo para sua Empresa

#Cibersegurança #Wazuh #SIEM #XDR #OpenSource

New by me: I finally wrote down what I wish someone had told me about SIEM.

It’s not magic. It’s a pipeline that turns telemetry into decisions and if you skip parsing, context, and tuning, you end up with a noisy log warehouse.

Making SIEM Useful: How It Works, What It Does, and Why You Should Care
https://www.kylereddoch.me/blog/making-siem-useful-how-it-works-what-it-does-and-why-you-should-care/

#cybersecurity #SIEM #SOC #logging #infosec

Been a busy day today. Caught up on some tickets finally.

I’ll be working on an article about SIEM.

#SIEM #IT

Интеграция SIEM с IRIS, Cortex, MISP, n8n (2 часть)

Привет. Меня зовут Андрей Урывко, я инженер ИБ. Это цикл статей о том, как мы перешли с Wazuh на коммерческий SIEM, а затем построили цепочку автоматизации обработки алертов с использованием IRIS (case management), Cortex, MISP и n8n. В предыдущей части статьи об Интеграция SIEM с IRIS, Cortex, MISP, n8n я рассказывал о том, почему мы перешли с Wazuh и о том, как установить все необходимые приложение и подключить SIEM к n8n. В этой части я покажу: Базовую настройку IRIS; Логику обработки события «переход по опасной ссылке»; Добавление активов в кейс IRIS.

https://habr.com/ru/articles/992838/

#siem #soar #IRIS #n8n #misp #cortex #irp #информационная_безопасность

🔍 Wazuh: A Solução SIEM Ideal para sua Empresa! 🛡️

O Wazuh é uma plataforma open source que oferece monitoramento de segurança robusto e resposta a incidentes. Com funcionalidades de SIEM e XDR, ele garante proteção em tempo real para ambientes on-premise e na nuvem, ajudando sua empresa a detectar e reagir rapidamente a ameaças.

👉 Descubra como o Wazuh pode fortalecer sua segurança: Wazuh: O SIEM Certo para sua Empresa

#Cibersegurança #Wazuh #SIEM #XDR #OpenSource

This is what I came up with.

Location --> Devices --> sources --> |
--> Datamodel
--> Index
--> sourcetype
--> Query

#siem #documentation #orgmode

#SIEM #security #logs #blue , I would rather threat hunt but here we are. Does it make sense to catalog all log sources and have an example for each one? #knowyourdata right? When is too much documentation too much ? It makes sense to me I guess to catalog all sources than document where the logs would go in a #datamodel and how to query them.

Atlassian audit logs aren’t useless. They’re shaped wrong.

Nested JSON and shifting arrays turn simple questions into manual work. Dashboards break. The fix isn’t more parsing in the SIEM. It’s modeling audit data at the edge.
https://graylog.org/post/from-atlassian-json-to-actionable-audit-insights/
#SecurityOperations #SIEM #AuditLogs

Atlassian audit logs aren’t useless. They’re shaped wrong. Nested JSON and shifting arrays turn simple questions into manual work. Dashboards break. The fix isn’t more parsing in the SIEM. It’s modeling audit data at the edge. graylog.org/post/from-at... #SecurityOperations #SIEM #AuditLogs

From Atlassian JSON to Actiona...

Внедрение SIEM ≠ его эффективная эксплуатация

Всем привет! В последнее время моя работа сосредоточена на проектах, цель которых — максимально расширить охват источников событий, оптимизировать процессы и улучшить состояние уже внедрённых SIEM, VM и других решений, а также запустить изменения в инфраструктуре клиентов, для того чтобы существенно повысить шансы обнаружения и нейтрализации злоумышленников в сети. «У нас стоит SIEM, но атаку не видели» — одна из самых частых проблем, с которой сталкиваются коллеги, использующие решения этого класса. Внедрение системы анализа событий информационной безопасности (SIEM) — лишь старт, но настоящая ценность появляется, когда система начинает эффективно обнаруживать угрозы и помогать их нейтрализовать. Для этого требуется не просто внедрение, а целая экосистема процессов, компетенций и вовлечённости. В этой статье я делюсь опытом реализации масштабных проектов по повышению зрелости ИБ, включая сложные кейсы с жёсткими сроками и высокими ожиданиями. Расскажу о типичных ошибках, системных подходах, которые действительно работают. Короткие рекомендации для тех, кто не любит читать:

https://habr.com/ru/companies/usergate/articles/989406/

#siem

🔍 Wazuh: A Solução SIEM Ideal para sua Empresa! 🛡️

O Wazuh é uma plataforma open source que oferece monitoramento de segurança robusto e resposta a incidentes. Com funcionalidades de SIEM e XDR, ele garante proteção em tempo real para ambientes on-premise e na nuvem, ajudando sua empresa a detectar e reagir rapidamente a ameaças.

👉 Descubra como o Wazuh pode fortalecer sua segurança: Wazuh: O SIEM Certo para sua Empresa

#Cibersegurança #Wazuh #SIEM #XDR #OpenSource

Полное расследование атаки APT-группировки Charming Kitten с марафона Standoff Defend

Всем привет! Недавно закрылось расследование атаки APT-группировки Charming Kitten с онлайн марафона, который проходил на онлайн-полигоне Standoff Defend , созданный для тренировки синих команд. Сейчас я бы хотел показать решение и полную цепочку, которую нужно было составить

https://habr.com/ru/articles/986696/

#blue_team #infosec #positive technologies #siem

🔍 Wazuh: A Solução SIEM Ideal para sua Empresa! 🛡️

O Wazuh é uma plataforma open source que oferece monitoramento de segurança robusto e resposta a incidentes. Com funcionalidades de SIEM e XDR, ele garante proteção em tempo real para ambientes on-premise e na nuvem, ajudando sua empresa a detectar e reagir rapidamente a ameaças.

👉 Descubra como o Wazuh pode fortalecer sua segurança: Wazuh: O SIEM Certo para sua Empresa

#Cibersegurança #Wazuh #SIEM #XDR #OpenSource

OpenSource XDR/SIEM "Wazuh" v4.14.2 released

https://secburg.com/posts/wazuh-4142-released/

#xdr #siem #opensource #tools

Runtime risk isn’t harder to analyze. It’s easier to misread. A UNC Wilmington study of 31k+ vulns shows LLMs can infer CVSS but fail without runtime context.

The same applies to MITRE mappings. Seth Goldhammer explains why AI needs SIEM data.
https://graylog.org/post/using-llms-cvss-and-siem-data-for-runtime-risk-prioritization/

#cybersecurity #SIEM #AI

Полезная картинка для понимания того, как всё устроено — в каких именно точках ставится ТСПУ.
Тем кто изучает принципы работы средств анализа сетевого трафика и контроля соединений (через глубокую инспекцию пакетов). Само по себе #DPI крайне полезно с точки зрения систем обнаружения и предотвращения вторжения #IDS и #IPS (даже стало встречаться как #IDPS). Последнее время становящихся неотъемлемой частью New Generation Firewall — оно же #NGFW
Это синергия с DPI случилась даже раньше чем с Web-applications Firewall — которые #WAF
Просто напрямую в L2-трафике разглядеть нужные вещи, бывает гораздо более полезно чем поднимать до L5-L7 уровня и там делать анализ.
Из #ТСПУ выходит хороший образчик того, что можно, а что не реально сделать на различных #NGFW решениях. Т.е. почему предприятиям с организациями нужны #SIEM решения и #SOC различные.

Нормальные люди, обитатели сети, всегда были в тени и будут вынуждены оставаться тени. Подальше от софитов, в чьём свете так любят купаться селебрити, различные лидеры общественного мнения или все кто подражает их «успеху».

Широким слоям населения от интернета нужна лишь малая часть, сводящаяся к набору нескольких служб. Примерно тоже самое было во времена игровых видеоприставок к ТВ или же залов с автоматами видеоигр. Наглядно демонстрирующих что же именно нужно массам от компьютеров вообще и полупроводниковой индустрии в частности.
Быдло не нужен сам по себе интернет, хватает интерактивного ТВ совмещённого с некой государственно-финансовой автоматизированной информационной системой.

Нужно ли быдлу в интернетике всякие мессенджеры и звонки — бесплатные сервисы такого план?
Это актуально лишь в том случае, если:
1) быдло готово платить — покупая товары и услуги, в стоимость которых заложен взнос на эти самые «бесплатные сервисы» (типа бесплатного e-mail, мессенджеров и звонков по ВКС).
2) государство позволяет юрлицам рассматривать пользователей таких сервисов как товар, продаваемый рекламодателям.

Потому что, в свою очередь, рекламодатели предоставляют услуги продвижения товаров и услуг различным производителям или вендорам. Не просто так, а проводя эффективные «компании» с «акциями» — анализируя данные собираемые о пользователях поставщиками «бесплатных» сервисов.
Само собой, государству может быть удобно и выгодно, когда есть возможность забирать уже готовые массивы накопленных данных у таких поставщиков «бесплатных» сервисов в целях обеспечения государственной и общественной безопасности.

Не сегодня, так завтра, а публичная часть интернета неизбежно превратится в то самое подобие интерактивного ТВ + ГосФин-АИС и россыпь «бесплатных» сервисов.
Интернет для меня и таких как Эдвард Сноуден никуда не денется, но окажется в другом слое реальности. Оверлейных сетей и цепочек VPN с прокси. Которыми мы вынуждены пользоваться уже порядка 15+ лет, уходя от систем наблюдения «пяти глаз» и различных «больших братьев», каждый из которых мнит себя на роли «глобального наблюдателя». Никакие

Роскомнадзоры со своими ТСПУ нисколько не определяют этот весь процесс — они лишь следствие, а не первопричина. А мы, которые не элита, но и «небыдло», продолжаем жить в своём слое реальности, со своим интернетом. Для нас лишь слегка меняются декорации вокруг этих входов-выходов (шлюзов и порталов). Изучение систем DPI используемых на массовых каналах связи в ТСПУ — это один из способов понять, какими декоративными панелями будет обрамляться в ближайшее время тот или иной шлюз или портал в настоящий интернет.

И это происходит не только давно, но и повсеместно на планете. Везде быдло своим фактом существования и многочисленности диктует образ жизни государства. Но с небольшими локальными вариациями технических средств в разных частях мира. Это расплата за развитие технологий передачи данных и удешевления систем доступа к телеком сетям. Не будь этих широких слоёв населения, не было бы серьёзных инвестиций, развития и снижения себестоимости.