+38 (067) 372 39 55

English site

Які use-cases детекції найважливіші для середньої компанії (Top 20)?

Чому важливі use-cases?
Багато компаній мають SIEM та EDR, але не мають якісного набору сценаріїв виявлення атак. Саме use-cases визначають ефективність SOC.
Топ-20 пріоритетних use-cases:
Identity та Access● Brute-force атаки на AD та Entra ID.● Password spraying.● Аномальні входи з нових країн.● Вимкнення MFA.● Створення привілейованих акаунтів.
Active Directory● Зміна членства Domain Admins.● DCSync активність.● Golden Ticket.● Kerberoasting.● Масові блокування акаунтів.
Endpoint Security● Запуск PowerShell з обфускацією.● Виконання Mimikatz.● Credential Dumping.● Підозріла активність LSASS.● Використання PsExec.
Ransomware● Масове шифрування файлів.● Видалення shadow copies.● Вимкнення EDR або AV.
Cloud та EmailСтворення правил переадресації пошти.Компрометація Microsoft 365 акаунтів.Додаткові use-cases
Після базового покриття рекомендується додати:● Insider Threat;● Data Exfiltration;● Impossible Travel;● Cloud Misconfiguration;● Lateral Movement;● Privilege Escalation.
Для середньої компанії покриття цих 20 сценаріїв забезпечує виявлення більшості сучасних атак, включаючи ransomware, компрометацію облікових записів та внутрішні загрози.

← Назад