Які use-cases детекції найважливіші для середньої компанії (Top 20)?
Чому важливі use-cases? Багато компаній мають SIEM та EDR, але не мають якісного набору сценаріїв виявлення атак. Саме use-cases визначають ефективність SOC. Топ-20 пріоритетних use-cases: Identity та Access● Brute-force атаки на AD та Entra ID.● Password spraying.● Аномальні входи з нових країн.● Вимкнення MFA.● Створення привілейованих акаунтів. Active Directory● Зміна членства Domain Admins.● DCSync активність.● Golden Ticket.● Kerberoasting.● Масові блокування акаунтів. Endpoint Security● Запуск PowerShell з обфускацією.● Виконання Mimikatz.● Credential Dumping.● Підозріла активність LSASS.● Використання PsExec. Ransomware● Масове шифрування файлів.● Видалення shadow copies.● Вимкнення EDR або AV. Cloud та EmailСтворення правил переадресації пошти.Компрометація Microsoft 365 акаунтів.Додаткові use-cases Після базового покриття рекомендується додати:● Insider Threat;● Data Exfiltration;● Impossible Travel;● Cloud Misconfiguration;● Lateral Movement;● Privilege Escalation. Для середньої компанії покриття цих 20 сценаріїв забезпечує виявлення більшості сучасних атак, включаючи ransomware, компрометацію облікових записів та внутрішні загрози.