Введение: угрозы и правила их обнаружения

Теперь, у нас есть рабочий агрегатор журналов и некоторая конечная защита на нашем хосте, что представляет отличное начало для обеспечения обширной видимости. Однако вместо того, чтобы вручную просматривать все журналы (что, конечно, полезно для обнаружения угроз и анализа инцидентов), мы можем усилить наши усилия, включив некоторые потоки угроз и правила обнаружения в нашем стеке.

Это позволит нам использовать актуальные сведения из надежного и популярного источника, чтобы усилить нашу систему управления событиями безопасности (SIEM), создавать оповещения и получать практику в разработке собственных правил обнаружения.

Обратите внимание: активация правил обнаружения может существенно повлиять на производительность вашего стека. Если вы заметите значительное ухудшение производительности, рекомендуется активировать правила обнаружения по мере необходимости.