-
Похожий контент
-
От KL FC Bot
Хотя искусственный интеллект можно применять в ИБ-сфере разными способами, от детектирования угроз до упрощения написания отчетов об инцидентах, наиболее эффективными будут применения, которые значительно снижают нагрузку на человека и при этом не требуют постоянных крупных вложений в поддержание актуальности и работоспособности моделей машинного обучения.
В предыдущей статье мы разобрались, как сложно и трудоемко поддерживать баланс между надежным детектированием киберугроз и низким уровнем ложноположительных срабатываний ИИ-моделей. Поэтому на вопрос из заголовка ответить очень легко — ИИ не может заменить экспертов, но способен снять с них часть нагрузки при обработке «простых» случаев. Причем, по мере обучения модели, номенклатура «простых» случаев будет со временем расти. Для реальной экономии времени ИБ-специалистов надо найти участки работ, на которых изменения происходят более медленно, чем в «лобовом» детектировании киберугроз. Многообещающим кандидатом на автоматизацию является обработка подозрительных событий (триаж).
Воронка детектирования
Чтобы иметь достаточно данных для обнаружения сложных угроз, современная организация в рамках своего SOC вынуждена ежедневно собирать миллионы событий с сенсоров в сети и на подключенных устройствах. После группировки и первичной фильтрации алгоритмами SIEM эти события дистиллируются в тысячи предупреждений о потенциально вредоносной активности. Изучать предупреждения обычно приходится уже людям, но реальные угрозы стоят далеко не за каждым таким сообщением. По данным сервиса Kaspersky MDR за 2023 год, инфраструктура клиентов генерировала миллиарды событий ежедневно, при этом за весь год из них было выделено 431 512 предупреждений о потенциально вредоносной активности. Но лишь 32 294 предупреждения оказались связаны с настоящими инцидентами ИБ. То есть машины эффективно просеяли сотни миллиардов событий и лишь ничтожный процент из них отдали на просмотр людям, но от 30 до 70% этого объема сразу помечаются аналитиками как ложные срабатывания, и около 13% после более глубокого расследования оказываются подтвержденными инцидентами.
View the full article
-
От Galem333
Допустим, возьмём Vmware Workstation Pro, и будем мы запускать в ней вредоносное ПО. Из мер безопасности приняты (отсутствие общих папок), всё, гостевые дополнения установлены, Интернет включен. Также вопрос к любителям побаловаться на виртуальной машине: бывало ли у вас такое, что вирус выбирался из виртуальной среды и наносил урон основной системе?
-
От Zakhar Sergeich
Добрый день.
При очистке ПК нашлись трояны mimikatz и mimilove.
Есть ли шансы расшифровать?
Desktop.zip Addition.txt FRST.txt
-
От vkandru
Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan.PowerShell.Ismdoor.gen
Имя объекта: Invoke-NinjaCopy.ps1
PID: 0
Пользователь: СИСТЕМА
MD5 хеш файла: a15ba4d7d79598a219d8bfd0208eadb0
Хеш SHA256 файла: d4bca69ea19a401092f22f5c67878660e14432a36723c2f3ea8f7769ab0974
CollectionLog-2023.11.27-12.02.zip
-
От vkandru
Добрый день, появилась проблема с обновлением баз на linux машинах.
после установки или переустановки обновления загружаются некоторое время и перестают.
на остальных машинах обновления загружаются регулярно.
Mar 05 23:09:44 graylog klnagent[804]: Have updates to download. Version: 22978 delay: 0. (5B4B4C46545D202F686F6D652F6275696C6465722F612F632F645F30303030303030302F732F70726F647563742F6F736D702F6B73632F6465762F6B63612F66742F666F6C64657273796E632E6370704034343539)
Mar 05 23:10:46 graylog klnagent[804]: Have complete updates version: 22978. (5B4B4C46545D202F686F6D652F6275696C6465722F612F632F645F30303030303030302F732F70726F647563742F6F736D702F6B73632F6465762F6B63612F66742F666F6C64657273796E632E6370704034333739)
Mar 06 02:09:47 graylog klnagent[804]: Transport level error while connecting to http://10.7.20.26:13000: SSL connection error, possibly a non-SSL port was used
Mar 06 02:20:21 graylog klnagent[804]: EventsProcessorProxy: #1255 Transport level error while connecting to http://10.7.20.26:13000: general error 0x4E7 (Error was occured in transport layer. Error code - '-125'. Location - 'http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
0005-$klnagent-1103-wd.zip
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти