{"id":480180,"date":"2026-05-19T03:42:16","date_gmt":"2026-05-19T03:42:16","guid":{"rendered":"https:\/\/savepearlharbor.com\/?p=480180"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=480180","title":{"rendered":"ISO\/IEC 27001:2022 \u0438 MITRE ATT&amp;CK \u0432 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0435 \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438: \u043f\u043e\u0447\u0435\u043c\u0443 \u0438\u0445 \u043d\u0435\u043b\u044c\u0437\u044f \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u043f\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0442\u044c"},"content":{"rendered":"<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<p>\u0412 \u043f\u0440\u043e\u0444\u0435\u0441\u0441\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0440\u0435\u0434\u0435 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0432 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 \u0433\u043e\u0434\u044b \u0432\u0441\u0451 \u0447\u0430\u0449\u0435 \u043c\u043e\u0436\u043d\u043e \u0443\u0441\u043b\u044b\u0448\u0430\u0442\u044c \u0442\u0435\u0437\u0438\u0441 \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u043a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u044b \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u0430 ISO\/IEC 27000 \u044f\u043a\u043e\u0431\u044b \u0443\u0442\u0440\u0430\u0442\u0438\u043b\u0438 \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0443\u044e \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u044c \u0434\u043b\u044f \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438. \u041e\u0431\u044b\u0447\u043d\u043e \u043f\u043e\u0434\u043e\u0431\u043d\u0430\u044f \u043f\u043e\u0437\u0438\u0446\u0438\u044f \u0441\u043e\u043f\u0440\u043e\u0432\u043e\u0436\u0434\u0430\u0435\u0442\u0441\u044f \u0443\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u044f\u043c\u0438 \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u0440\u0435\u0430\u043b\u044c\u043d\u0430\u044f \u0437\u0430\u0449\u0438\u0442\u0430 \u0441\u0435\u0433\u043e\u0434\u043d\u044f \u0441\u0442\u0440\u043e\u0438\u0442\u0441\u044f \u0432\u043e\u043a\u0440\u0443\u0433 MITRE ATT&amp;CK, Threat Hunting, DFIR (Digital Forensics and Incident Response), Detection Engineering \u0438 SOC (Security Operations Center), \u0442\u043e\u0433\u0434\u0430 \u043a\u0430\u043a ISO\/IEC 27001 \u0432\u043e\u0441\u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0435\u0442\u0441\u044f \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043a\u0430\u043a compliance-framework \u0434\u043b\u044f \u0430\u0443\u0434\u0438\u0442\u0430 \u0438 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438.<\/p>\n<p>\u041f\u043e\u0434\u043e\u0431\u043d\u0430\u044f \u0442\u043e\u0447\u043a\u0430 \u0437\u0440\u0435\u043d\u0438\u044f \u0441\u0442\u0430\u043b\u0430 \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u043e\u0439 \u043d\u0430 \u0444\u043e\u043d\u0435 \u0440\u043e\u0441\u0442\u0430:<\/p>\n<ul>\n<li>\n<p> ransomware-\u044d\u043a\u043e\u0441\u0438\u0441\u0442\u0435\u043c; <\/p>\n<\/li>\n<li>\n<p> \u0430\u0442\u0430\u043a \u043d\u0430 cloud infrastructure; <\/p>\n<\/li>\n<li>\n<p> \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438 identity systems; <\/p>\n<\/li>\n<li>\n<p> supply-chain \u0430\u0442\u0430\u043a; <\/p>\n<\/li>\n<li>\n<p> \u0437\u043b\u043e\u0443\u043f\u043e\u0442\u0440\u0435\u0431\u043b\u0435\u043d\u0438\u044f \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u043c\u0438 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u0438\u0432\u043d\u044b\u043c\u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u043c\u0438; <\/p>\n<\/li>\n<li>\n<p> \u0430\u0442\u0430\u043a \u0431\u0435\u0437 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u043a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e malware. <\/p>\n<\/li>\n<\/ul>\n<p>\u041d\u0430 \u043f\u0435\u0440\u0432\u044b\u0439 \u0432\u0437\u0433\u043b\u044f\u0434 \u043f\u043e\u0434\u043e\u0431\u043d\u0430\u044f \u043b\u043e\u0433\u0438\u043a\u0430 \u043a\u0430\u0436\u0435\u0442\u0441\u044f \u0443\u0431\u0435\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439. \u0414\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e, ISO\/IEC 27001:2022 \u043d\u0435 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442:<\/p>\n<ul>\n<li>\n<p> lateral movement (\u0433\u043e\u0440\u0438\u0437\u043e\u043d\u0442\u0430\u043b\u044c\u043d\u043e\u0435 \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u0435); <\/p>\n<\/li>\n<li>\n<p> credential dumping (\u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u0435 \u0443\u0447\u0451\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445); <\/p>\n<\/li>\n<li>\n<p> persistence techniques (\u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u044b \u0437\u0430\u043a\u0440\u0435\u043f\u043b\u0435\u043d\u0438\u044f); <\/p>\n<\/li>\n<li>\n<p> command-and-control; <\/p>\n<\/li>\n<li>\n<p> privilege escalation; <\/p>\n<\/li>\n<li>\n<p> defense evasion. <\/p>\n<\/li>\n<\/ul>\n<p>\u0418\u0437 \u044d\u0442\u043e\u0433\u043e \u043c\u043d\u043e\u0433\u0438\u0435 \u0434\u0435\u043b\u0430\u044e\u0442 \u043e\u0448\u0438\u0431\u043e\u0447\u043d\u044b\u0439 \u0432\u044b\u0432\u043e\u0434:<\/p>\n<blockquote>\n<p>\u0435\u0441\u043b\u0438 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442 \u043d\u0435 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 \u0430\u0442\u0430\u043a\u0438, \u0437\u043d\u0430\u0447\u0438\u0442 \u043e\u043d \u043d\u0435 \u043f\u0440\u0438\u043c\u0435\u043d\u0438\u043c \u043a \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.<\/p>\n<\/blockquote>\n<p>\u041e\u0434\u043d\u0430\u043a\u043e \u043f\u043e\u0434\u043e\u0431\u043d\u0430\u044f \u043b\u043e\u0433\u0438\u043a\u0430 \u043e\u0441\u043d\u043e\u0432\u0430\u043d\u0430 \u043d\u0430 \u0444\u0443\u043d\u0434\u0430\u043c\u0435\u043d\u0442\u0430\u043b\u044c\u043d\u043e\u043c \u043c\u0435\u0442\u043e\u0434\u043e\u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u043e\u043c \u0441\u043c\u0435\u0448\u0435\u043d\u0438\u0438 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u043d\u044b\u0445 \u0443\u0440\u043e\u0432\u043d\u0435\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.<\/p>\n<p>\u041f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e:<\/p>\n<ul>\n<li>\n<p> ISO\/IEC 27001; <\/p>\n<\/li>\n<li>\n<p> MITRE ATT&amp;CK; <\/p>\n<\/li>\n<li>\n<p> DFIR; <\/p>\n<\/li>\n<li>\n<p> SOC; <\/p>\n<\/li>\n<li>\n<p> Threat Hunting; <\/p>\n<\/li>\n<li>\n<p> Detection Engineering <\/p>\n<\/li>\n<\/ul>\n<p>\u0440\u0435\u0448\u0430\u044e\u0442 \u0440\u0430\u0437\u043d\u044b\u0435 \u0437\u0430\u0434\u0430\u0447\u0438 \u0438 \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0438\u0440\u0443\u044e\u0442 \u043d\u0430 \u0440\u0430\u0437\u043d\u044b\u0445 \u0443\u0440\u043e\u0432\u043d\u044f\u0445 \u043e\u0434\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.<\/p>\n<p>\u0418\u0445 \u043f\u0440\u044f\u043c\u043e\u0435 \u0441\u0440\u0430\u0432\u043d\u0435\u043d\u0438\u0435 \u043c\u0435\u0442\u043e\u0434\u043e\u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u0438 \u043d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e.<\/p>\n<h2>\u0413\u043b\u0430\u0432\u043d\u0430\u044f \u043e\u0448\u0438\u0431\u043a\u0430 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u0434\u0438\u0441\u043a\u0443\u0441\u0441\u0438\u0438<\/h2>\n<p>\u0421\u0435\u0433\u043e\u0434\u043d\u044f \u0432 \u0438\u043d\u0434\u0443\u0441\u0442\u0440\u0438\u0438 \u0432\u0441\u0451 \u0447\u0430\u0449\u0435 \u0444\u043e\u0440\u043c\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u043e\u0448\u0438\u0431\u043e\u0447\u043d\u043e\u0435 \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u043f\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u0435:<\/p>\n<blockquote>\n<p>\u043b\u0438\u0431\u043e governance \u0438 ISO\/IEC 27001,<br \/>\u043b\u0438\u0431\u043e ATT&amp;CK \u0438 operational security.<\/p>\n<\/blockquote>\n<p>\u041d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u043f\u043e\u0434\u043e\u0431\u043d\u043e\u0435 \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u043f\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0432\u043e\u0437\u043d\u0438\u043a\u0430\u0435\u0442 \u0438\u0437-\u0437\u0430 \u0441\u043c\u0435\u0448\u0435\u043d\u0438\u044f:<\/p>\n<ul>\n<li>\n<p> governance layer; <\/p>\n<\/li>\n<li>\n<p> operational layer; <\/p>\n<\/li>\n<li>\n<p> detection layer; <\/p>\n<\/li>\n<li>\n<p> incident response layer. <\/p>\n<\/li>\n<\/ul>\n<p>ISO\/IEC 27001 \u043d\u0438\u043a\u043e\u0433\u0434\u0430 \u043d\u0435 \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u043b\u0441\u044f \u043a\u0430\u043a \u043c\u043e\u0434\u0435\u043b\u044c \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e. \u0415\u0433\u043e \u0437\u0430\u0434\u0430\u0447\u0430 \u2014 \u043d\u0435 \u043e\u0431\u044a\u044f\u0441\u043d\u044f\u0442\u044c, \u043a\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442 Kerberos delegation abuse, OAuth persistence \u0438\u043b\u0438 lateral movement \u0447\u0435\u0440\u0435\u0437 PsExec.<\/p>\n<p>\u0421\u0442\u0430\u043d\u0434\u0430\u0440\u0442 \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u043d\u0430 \u0441\u043e\u0432\u0435\u0440\u0448\u0435\u043d\u043d\u043e \u0434\u0440\u0443\u0433\u0438\u0435 \u0432\u043e\u043f\u0440\u043e\u0441\u044b:<\/p>\n<ul>\n<li>\n<p> \u043a\u0430\u043a \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044f \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c\u044e; <\/p>\n<\/li>\n<li>\n<p> \u043a\u0430\u043a \u0440\u0430\u0441\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442\u0441\u044f \u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0441\u0442\u044c; <\/p>\n<\/li>\n<li>\n<p> \u043a\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u044e\u0442\u0441\u044f risk-based decisions; <\/p>\n<\/li>\n<li>\n<p> \u043a\u0430\u043a \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442\u0441\u044f accountability; <\/p>\n<\/li>\n<li>\n<p> \u043a\u0430\u043a \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442\u0441\u044f continuous improvement; <\/p>\n<\/li>\n<li>\n<p> \u043a\u0430\u043a \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0443\u0435\u0442\u0441\u044f \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430\u043c\u0438; <\/p>\n<\/li>\n<li>\n<p> \u043a\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0443\u0441\u0442\u043e\u0439\u0447\u0438\u0432\u043e\u0441\u0442\u044c \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438. <\/p>\n<\/li>\n<\/ul>\n<p>MITRE ATT&amp;CK, \u043d\u0430\u043f\u0440\u043e\u0442\u0438\u0432, \u0432\u043e\u043e\u0431\u0449\u0435 \u043d\u0435 \u0437\u0430\u043d\u0438\u043c\u0430\u0435\u0442\u0441\u044f governance.<\/p>\n<p>ATT&amp;CK \u043d\u0435 \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442:<\/p>\n<ul>\n<li>\n<p> \u043a\u0442\u043e \u0432\u043b\u0430\u0434\u0435\u043b\u0435\u0446 \u0440\u0438\u0441\u043a\u0430; <\/p>\n<\/li>\n<li>\n<p> \u043a\u0430\u043a \u043f\u0440\u043e\u0432\u043e\u0434\u0438\u0442\u0441\u044f management review; <\/p>\n<\/li>\n<li>\n<p> \u043a\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u043e\u0432\u0430\u043d \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0439 \u0430\u0443\u0434\u0438\u0442; <\/p>\n<\/li>\n<li>\n<p> \u043a\u0430\u043a \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u043f\u043e\u0441\u0442\u0430\u0432\u0449\u0438\u043a\u0438; <\/p>\n<\/li>\n<li>\n<p> \u043a\u0430\u043a \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442\u0441\u044f supplier security; <\/p>\n<\/li>\n<li>\n<p> \u043a\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442\u0441\u044f forensic readiness. <\/p>\n<\/li>\n<\/ul>\n<p>ATT&amp;CK \u0440\u0435\u0448\u0430\u0435\u0442 \u0441\u043e\u0432\u0435\u0440\u0448\u0435\u043d\u043d\u043e \u0434\u0440\u0443\u0433\u0443\u044e \u0437\u0430\u0434\u0430\u0447\u0443 \u2014 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0442\u0438\u0437\u0430\u0446\u0438\u044e adversary behavior (\u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430).<\/p>\n<p>\u0421\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e:<\/p>\n<ul>\n<li>\n<p> ATT&amp;CK \u043d\u0435 \u0437\u0430\u043c\u0435\u043d\u044f\u0435\u0442 ISO\/IEC 27001; <\/p>\n<\/li>\n<li>\n<p> ISO\/IEC 27001 \u043d\u0435 \u0437\u0430\u043c\u0435\u043d\u044f\u0435\u0442 ATT&amp;CK. <\/p>\n<\/li>\n<\/ul>\n<p>\u041e\u043d\u0438 \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0438\u0440\u0443\u044e\u0442 \u043d\u0430 \u0440\u0430\u0437\u043d\u044b\u0445 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u043d\u044b\u0445 \u0443\u0440\u043e\u0432\u043d\u044f\u0445 \u0438 \u0432\u0437\u0430\u0438\u043c\u043d\u043e \u0434\u043e\u043f\u043e\u043b\u043d\u044f\u044e\u0442 \u0434\u0440\u0443\u0433 \u0434\u0440\u0443\u0433\u0430.<\/p>\n<h2>\u041f\u043e\u0447\u0435\u043c\u0443 operational security \u0431\u0435\u0437 governance \u0431\u044b\u0441\u0442\u0440\u043e \u0434\u0435\u0433\u0440\u0430\u0434\u0438\u0440\u0443\u0435\u0442<\/h2>\n<p>\u041e\u0434\u043d\u043e\u0439 \u0438\u0437 \u0441\u0430\u043c\u044b\u0445 \u043e\u043f\u0430\u0441\u043d\u044b\u0445 \u0438\u043b\u043b\u044e\u0437\u0438\u0439 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u0438\u043d\u0434\u0443\u0441\u0442\u0440\u0438\u0438 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0443\u0431\u0435\u0436\u0434\u0435\u043d\u0438\u0435, \u0447\u0442\u043e \u043d\u0430\u043b\u0438\u0447\u0438\u0435:<\/p>\n<ul>\n<li>\n<p> SIEM; <\/p>\n<\/li>\n<li>\n<p> EDR\/XDR; <\/p>\n<\/li>\n<li>\n<p> Threat Intelligence; <\/p>\n<\/li>\n<li>\n<p> ATT&amp;CK mapping; <\/p>\n<\/li>\n<li>\n<p> Threat Hunting; <\/p>\n<\/li>\n<li>\n<p> Detection Engineering <\/p>\n<\/li>\n<\/ul>\n<p>\u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0434\u0435\u043b\u0430\u0435\u0442 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044e \u0437\u0440\u0435\u043b\u043e\u0439 \u0432 \u043e\u0431\u043b\u0430\u0441\u0442\u0438 \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.<\/p>\n<p>\u041f\u0440\u0430\u043a\u0442\u0438\u043a\u0430 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043e\u0431\u0440\u0430\u0442\u043d\u043e\u0435.<\/p>\n<p>\u0412\u043e \u043c\u043d\u043e\u0433\u0438\u0445 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044f\u0445 operational security \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0444\u0440\u0430\u0433\u043c\u0435\u043d\u0442\u0430\u0440\u043d\u043e:<\/p>\n<ul>\n<li>\n<p> logging coverage \u043d\u0435\u043f\u043e\u043b\u043d\u044b\u0439; <\/p>\n<\/li>\n<li>\n<p> telemetry \u0440\u0430\u0437\u0440\u043e\u0437\u043d\u0435\u043d\u0430; <\/p>\n<\/li>\n<li>\n<p> retention \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u0435\u043d; <\/p>\n<\/li>\n<li>\n<p> ownership \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442; <\/p>\n<\/li>\n<li>\n<p> cloud audit logs \u0445\u0440\u0430\u043d\u044f\u0442\u0441\u044f \u0441\u043b\u0438\u0448\u043a\u043e\u043c \u043a\u043e\u0440\u043e\u0442\u043a\u043e; <\/p>\n<\/li>\n<li>\n<p> \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u044e\u0442\u0441\u044f \u0432\u0440\u0443\u0447\u043d\u0443\u044e; <\/p>\n<\/li>\n<li>\n<p> detection logic \u043d\u0435 \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u043e; <\/p>\n<\/li>\n<li>\n<p> visibility \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d. <\/p>\n<\/li>\n<\/ul>\n<p>\u041f\u0440\u0438 \u044d\u0442\u043e\u043c \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044f \u043c\u043e\u0436\u0435\u0442 \u043e\u0431\u043b\u0430\u0434\u0430\u0442\u044c:<\/p>\n<ul>\n<li>\n<p> \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u043c SOC; <\/p>\n<\/li>\n<li>\n<p> \u0434\u043e\u0440\u043e\u0433\u043e\u0441\u0442\u043e\u044f\u0449\u0435\u0439 SIEM-\u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c\u043e\u0439; <\/p>\n<\/li>\n<li>\n<p> ATT&amp;CK dashboards; <\/p>\n<\/li>\n<li>\n<p> \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u0438\u043c Threat Intelligence; <\/p>\n<\/li>\n<li>\n<p> XDR-\u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u043e\u0439. <\/p>\n<\/li>\n<\/ul>\n<p>\u041d\u043e \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 governance \u043f\u0440\u0438\u0432\u043e\u0434\u0438\u0442 \u043a \u0442\u043e\u043c\u0443, \u0447\u0442\u043e operational security \u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u0432 \u043d\u0430\u0431\u043e\u0440 \u0440\u0430\u0437\u0440\u043e\u0437\u043d\u0435\u043d\u043d\u044b\u0445 \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0438\u043d\u0438\u0446\u0438\u0430\u0442\u0438\u0432.<\/p>\n<p>\u041d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u044d\u0442\u043e \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0437\u043d\u0430\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043c\u0435\u043d\u0435\u0435 \u043a\u0440\u0430\u0441\u0438\u0432\u043e, \u0447\u0435\u043c \u0432 \u043f\u0440\u0435\u0437\u0435\u043d\u0442\u0430\u0446\u0438\u044f\u0445 \u0432\u0435\u043d\u0434\u043e\u0440\u043e\u0432.<\/p>\n<p>\u041e\u0447\u0435\u043d\u044c \u043c\u043d\u043e\u0433\u0438\u0435 SOC \u0443\u0432\u0435\u0440\u0435\u043d\u044b, \u0447\u0442\u043e \u043e\u0431\u043b\u0430\u0434\u0430\u044e\u0442 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u044b\u043c visibility, \u043f\u043e\u043a\u0430 \u043d\u0435 \u0441\u0442\u0430\u043b\u043a\u0438\u0432\u0430\u044e\u0442\u0441\u044f \u0441 \u0441\u0435\u0440\u044c\u0451\u0437\u043d\u044b\u043c \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u043e\u043c. \u041f\u043e\u0441\u043b\u0435 \u044d\u0442\u043e\u0433\u043e \u0432\u043d\u0435\u0437\u0430\u043f\u043d\u043e \u0432\u044b\u044f\u0441\u043d\u044f\u0435\u0442\u0441\u044f:<\/p>\n<ul>\n<li>\n<p> DNS telemetry \u043d\u0438\u043a\u043e\u0433\u0434\u0430 \u043f\u043e\u043b\u043d\u043e\u0446\u0435\u043d\u043d\u043e \u043d\u0435 \u0441\u043e\u0431\u0438\u0440\u0430\u043b\u0430\u0441\u044c; <\/p>\n<\/li>\n<li>\n<p> PowerShell logging \u043e\u0442\u043a\u043b\u044e\u0447\u0451\u043d; <\/p>\n<\/li>\n<li>\n<p> retention \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u0435\u043c\u044c \u0434\u043d\u0435\u0439; <\/p>\n<\/li>\n<li>\n<p> cloud audit logs \u0443\u0436\u0435 \u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0438\u0441\u0430\u043d\u044b; <\/p>\n<\/li>\n<li>\n<p> \u0441\u0438\u043d\u0445\u0440\u043e\u043d\u0438\u0437\u0430\u0446\u0438\u044f \u0432\u0440\u0435\u043c\u0435\u043d\u0438 \u043c\u0435\u0436\u0434\u0443 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u043c\u0438 \u043d\u0430\u0440\u0443\u0448\u0435\u043d\u0430; <\/p>\n<\/li>\n<li>\n<p> \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0430\u044f \u0447\u0430\u0441\u0442\u044c \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u0432\u043e\u043e\u0431\u0449\u0435 \u043d\u0435 \u0438\u043d\u0442\u0435\u0433\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u0430 \u0432 SIEM. <\/p>\n<\/li>\n<\/ul>\n<p>\u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435 \u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u043d\u0435 \u0432 reconstruction attack chain, \u0430 \u0432 \u043f\u043e\u043f\u044b\u0442\u043a\u0443 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043f\u043e \u0444\u0440\u0430\u0433\u043c\u0435\u043d\u0442\u0430\u043c \u0430\u0440\u0442\u0435\u0444\u0430\u043a\u0442\u043e\u0432.<\/p>\n<p>\u0418\u043c\u0435\u043d\u043d\u043e \u0437\u0434\u0435\u0441\u044c \u043f\u0440\u043e\u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0440\u0435\u0430\u043b\u044c\u043d\u0430\u044f \u0440\u043e\u043b\u044c ISO\/IEC 27001.<\/p>\n<p>\u0417\u0440\u0435\u043b\u0430\u044f ISMS (Information Security Management System) \u0441\u043e\u0437\u0434\u0430\u0451\u0442 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u043e\u043d\u043d\u0443\u044e \u0441\u0440\u0435\u0434\u0443, \u0432\u043d\u0443\u0442\u0440\u0438 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 operational cybersecurity \u0432\u043e\u043e\u0431\u0449\u0435 \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0439.<\/p>\n<p>\u0418\u043c\u0435\u043d\u043d\u043e governance-driven processes \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u044e\u0442:<\/p>\n<ul>\n<li>\n<p> \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0436\u0443\u0440\u043d\u0430\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435; <\/p>\n<\/li>\n<li>\n<p> \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u044f \u043a retention; <\/p>\n<\/li>\n<li>\n<p> \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f\u043c\u0438; <\/p>\n<\/li>\n<li>\n<p> supplier security; <\/p>\n<\/li>\n<li>\n<p> \u0440\u0430\u0441\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u0435 \u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0441\u0442\u0438; <\/p>\n<\/li>\n<li>\n<p> \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u0443\u044e \u043e\u0446\u0435\u043d\u043a\u0443 \u0440\u0438\u0441\u043a\u043e\u0432; <\/p>\n<\/li>\n<li>\n<p> incident governance; <\/p>\n<\/li>\n<li>\n<p> forensic readiness; <\/p>\n<\/li>\n<li>\n<p> auditability. <\/p>\n<\/li>\n<\/ul>\n<p>\u0411\u0435\u0437 \u044d\u0442\u043e\u0433\u043e SOC \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0432\u0441\u043b\u0435\u043f\u0443\u044e.<\/p>\n<h2>ATT&amp;CK \u043d\u0435 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u043e\u0439 \u0437\u0430\u0449\u0438\u0442\u044b<\/h2>\n<p>\u0412 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 \u0433\u043e\u0434\u044b MITRE ATT&amp;CK \u0444\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0441\u0442\u0430\u043b industry standard \u0434\u043b\u044f:<\/p>\n<ul>\n<li>\n<p> threat-informed defense; <\/p>\n<\/li>\n<li>\n<p> detection engineering; <\/p>\n<\/li>\n<li>\n<p> adversary emulation; <\/p>\n<\/li>\n<li>\n<p> threat hunting. <\/p>\n<\/li>\n<\/ul>\n<p>\u041e\u0434\u043d\u0430\u043a\u043e \u0432\u043e\u043a\u0440\u0443\u0433 ATT&amp;CK \u043f\u043e\u0441\u0442\u0435\u043f\u0435\u043d\u043d\u043e \u0441\u0444\u043e\u0440\u043c\u0438\u0440\u043e\u0432\u0430\u043b\u043e\u0441\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0435 \u0438\u0441\u043a\u0430\u0436\u0435\u043d\u0438\u0435.<\/p>\n<p>\u041c\u043d\u043e\u0433\u0438\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u043d\u0430\u0447\u0430\u043b\u0438 \u0432\u043e\u0441\u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0442\u044c ATT&amp;CK coverage \u043a\u0430\u043a \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c \u0437\u0440\u0435\u043b\u043e\u0441\u0442\u0438 \u0437\u0430\u0449\u0438\u0442\u044b.<\/p>\n<p>\u041d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u044d\u0442\u043e \u0447\u0430\u0441\u0442\u043e \u043f\u0440\u0438\u0432\u043e\u0434\u0438\u0442 \u043a \u0434\u0435\u043a\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.<\/p>\n<p>\u0412\u043e \u043c\u043d\u043e\u0433\u0438\u0445 SOC ATT&amp;CK mapping \u0441\u0432\u043e\u0434\u0438\u0442\u0441\u044f \u043a \u0444\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u043e\u0439 \u043f\u0440\u0438\u0432\u044f\u0437\u043a\u0435 alert\u2019\u043e\u0432 \u043a techniques:<\/p>\n<ul>\n<li>\n<p> T1059; <\/p>\n<\/li>\n<li>\n<p> T1027; <\/p>\n<\/li>\n<li>\n<p> T1566; <\/p>\n<\/li>\n<li>\n<p> T1078. <\/p>\n<\/li>\n<\/ul>\n<p>\u041f\u0440\u0438 \u044d\u0442\u043e\u043c:<\/p>\n<ul>\n<li>\n<p> \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u043e detection logic \u043d\u0435 \u0443\u043b\u0443\u0447\u0448\u0430\u0435\u0442\u0441\u044f; <\/p>\n<\/li>\n<li>\n<p> false positive rate \u043e\u0441\u0442\u0430\u0451\u0442\u0441\u044f \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u043c; <\/p>\n<\/li>\n<li>\n<p> telemetry gaps \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u044e\u0442\u0441\u044f; <\/p>\n<\/li>\n<li>\n<p> lateral movement \u043f\u043e-\u043f\u0440\u0435\u0436\u043d\u0435\u043c\u0443 \u043d\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442\u0441\u044f; <\/p>\n<\/li>\n<li>\n<p> cloud visibility \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d; <\/p>\n<\/li>\n<li>\n<p> identity abuse \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043d\u0435 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u0443\u0435\u0442\u0441\u044f. <\/p>\n<\/li>\n<\/ul>\n<p>\u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 ATT&amp;CK \u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u0432 \u043a\u0440\u0430\u0441\u0438\u0432\u0443\u044e \u043a\u043b\u0430\u0441\u0441\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u043e\u043d\u043d\u0443\u044e \u043d\u0430\u0434\u0441\u0442\u0440\u043e\u0439\u043a\u0443 \u043f\u043e\u0432\u0435\u0440\u0445 \u0441\u043b\u0430\u0431\u043e\u0439 detection architecture.<\/p>\n<p>\u041e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u0445\u043e\u0440\u043e\u0448\u043e \u044d\u0442\u043e \u0432\u0438\u0434\u043d\u043e \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0445 \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0439.<\/p>\n<p>\u041c\u043d\u043e\u0433\u0438\u0435 SOC \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u044b \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c ATT&amp;CK heatmap, \u043d\u043e \u043f\u0440\u0438 \u044d\u0442\u043e\u043c \u043d\u0435 \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u044b \u043e\u0442\u0432\u0435\u0442\u0438\u0442\u044c \u043d\u0430 \u0431\u0430\u0437\u043e\u0432\u044b\u0435 \u0432\u043e\u043f\u0440\u043e\u0441\u044b:<\/p>\n<ul>\n<li>\n<p> \u043a\u0430\u043a \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u0437\u0430\u043a\u0440\u0435\u043f\u0438\u043b\u0441\u044f; <\/p>\n<\/li>\n<li>\n<p> \u043a\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u0440\u0430\u0437\u0432\u0438\u0432\u0430\u043b\u0430\u0441\u044c \u0430\u0442\u0430\u043a\u0430; <\/p>\n<\/li>\n<li>\n<p> \u043a\u043e\u0433\u0434\u0430 \u043d\u0430\u0447\u0430\u043b\u0430\u0441\u044c credential compromise; <\/p>\n<\/li>\n<li>\n<p> \u043a\u0430\u043a\u0438\u0435 \u0443\u0447\u0451\u0442\u043d\u044b\u0435 \u0437\u0430\u043f\u0438\u0441\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c; <\/p>\n<\/li>\n<li>\n<p> \u043a\u0430\u043a\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0431\u044b\u043b\u0438 \u0437\u0430\u0442\u0440\u043e\u043d\u0443\u0442\u044b. <\/p>\n<\/li>\n<\/ul>\n<p>\u041d\u0430\u043b\u0438\u0447\u0438\u0435 ATT&amp;CK coverage \u0441\u0430\u043c\u043e \u043f\u043e \u0441\u0435\u0431\u0435 \u043d\u0435 \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u043e\u0441\u0442\u044c \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0442\u044c adversary behavior.<\/p>\n<p>ATT&amp;CK \u2014 \u044d\u0442\u043e knowledge base.<br \/> \u041d\u0435 operational capability.<\/p>\n<h2>\u041a\u0440\u0438\u0437\u0438\u0441 IOC-based security<\/h2>\n<p>\u0422\u0440\u0430\u0434\u0438\u0446\u0438\u043e\u043d\u043d\u0430\u044f \u043c\u043e\u0434\u0435\u043b\u044c SOC \u0438\u0441\u0442\u043e\u0440\u0438\u0447\u0435\u0441\u043a\u0438 \u0441\u0442\u0440\u043e\u0438\u043b\u0430\u0441\u044c \u0432\u043e\u043a\u0440\u0443\u0433:<\/p>\n<ul>\n<li>\n<p> IOC (Indicators of Compromise); <\/p>\n<\/li>\n<li>\n<p> IP-addresses; <\/p>\n<\/li>\n<li>\n<p> hashes; <\/p>\n<\/li>\n<li>\n<p> domains; <\/p>\n<\/li>\n<li>\n<p> signatures; <\/p>\n<\/li>\n<li>\n<p> correlation rules. <\/p>\n<\/li>\n<\/ul>\n<p>\u041f\u043e\u0434\u043e\u0431\u043d\u0430\u044f \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0430 \u043e\u0442\u043d\u043e\u0441\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u043e \u0440\u0430\u0431\u043e\u0442\u0430\u043b\u0430 \u0432 \u044d\u043f\u043e\u0445\u0443:<\/p>\n<ul>\n<li>\n<p> commodity malware; <\/p>\n<\/li>\n<li>\n<p> \u043f\u0440\u043e\u0441\u0442\u044b\u0445 phishing campaigns; <\/p>\n<\/li>\n<li>\n<p> \u0441\u0442\u0430\u0442\u0438\u0447\u043d\u043e\u0439 command-and-control infrastructure. <\/p>\n<\/li>\n<\/ul>\n<p>\u041e\u0434\u043d\u0430\u043a\u043e \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 adversaries increasingly rely on:<\/p>\n<ul>\n<li>\n<p> living-off-the-land techniques; <\/p>\n<\/li>\n<li>\n<p> legitimate administration tooling; <\/p>\n<\/li>\n<li>\n<p> stolen session tokens; <\/p>\n<\/li>\n<li>\n<p> OAuth abuse; <\/p>\n<\/li>\n<li>\n<p> API keys; <\/p>\n<\/li>\n<li>\n<p> cloud identities; <\/p>\n<\/li>\n<li>\n<p> delegated permissions; <\/p>\n<\/li>\n<li>\n<p> short-lived infrastructure. <\/p>\n<\/li>\n<\/ul>\n<p>\u0412\u043e \u043c\u043d\u043e\u0433\u0438\u0445 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0445 compromise malware \u0432\u043e\u043e\u0431\u0449\u0435 \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442.<\/p>\n<p>\u041a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u044f Microsoft 365 \u0441\u0435\u0433\u043e\u0434\u043d\u044f \u043c\u043e\u0436\u0435\u0442 \u0432\u044b\u0433\u043b\u044f\u0434\u0435\u0442\u044c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c:<\/p>\n<ul>\n<li>\n<p> successful login \u0438\u0437 \u043d\u043e\u0432\u043e\u0439 \u0433\u0435\u043e\u0433\u0440\u0430\u0444\u0438\u0438; <\/p>\n<\/li>\n<li>\n<p> consent \u0434\u043b\u044f malicious OAuth application; <\/p>\n<\/li>\n<li>\n<p> \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 mailbox forwarding rule; <\/p>\n<\/li>\n<li>\n<p> \u0432\u044b\u0433\u0440\u0443\u0437\u043a\u0430 \u043f\u043e\u0447\u0442\u043e\u0432\u043e\u0433\u043e \u0430\u0440\u0445\u0438\u0432\u0430 \u0447\u0435\u0440\u0435\u0437 API; <\/p>\n<\/li>\n<li>\n<p> persistence \u0447\u0435\u0440\u0435\u0437 delegated permissions. <\/p>\n<\/li>\n<\/ul>\n<p>\u041f\u0440\u0438 \u044d\u0442\u043e\u043c:<\/p>\n<ul>\n<li>\n<p> endpoint \u043e\u0441\u0442\u0430\u0451\u0442\u0441\u044f \u00ab\u0447\u0438\u0441\u0442\u044b\u043c\u00bb; <\/p>\n<\/li>\n<li>\n<p> \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441 \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442; <\/p>\n<\/li>\n<li>\n<p> malicious binary \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442; <\/p>\n<\/li>\n<li>\n<p> disk artifacts \u043c\u0438\u043d\u0438\u043c\u0430\u043b\u044c\u043d\u044b. <\/p>\n<\/li>\n<\/ul>\n<p>\u0415\u0441\u043b\u0438 SOC \u043e\u0440\u0438\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043d\u0430 IOC-model, \u043f\u043e\u0434\u043e\u0431\u043d\u0430\u044f \u0430\u0442\u0430\u043a\u0430 \u043c\u043e\u0436\u0435\u0442 \u043e\u0441\u0442\u0430\u0432\u0430\u0442\u044c\u0441\u044f \u043d\u0435\u0437\u0430\u043c\u0435\u0442\u043d\u043e\u0439 \u043d\u0435\u0434\u0435\u043b\u044f\u043c\u0438.<\/p>\n<p>\u0418\u043c\u0435\u043d\u043d\u043e \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f cybersecurity \u043f\u043e\u0441\u0442\u0435\u043f\u0435\u043d\u043d\u043e \u0441\u043c\u0435\u0449\u0430\u0435\u0442\u0441\u044f \u0432 \u0441\u0442\u043e\u0440\u043e\u043d\u0443:<\/p>\n<ul>\n<li>\n<p> behavior analytics; <\/p>\n<\/li>\n<li>\n<p> telemetry correlation; <\/p>\n<\/li>\n<li>\n<p> identity monitoring; <\/p>\n<\/li>\n<li>\n<p> anomaly detection; <\/p>\n<\/li>\n<li>\n<p> attack sequence reconstruction. <\/p>\n<\/li>\n<\/ul>\n<h2>Telemetry \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u0444\u0443\u043d\u0434\u0430\u043c\u0435\u043d\u0442\u043e\u043c \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438<\/h2>\n<p>\u041e\u0434\u043d\u0430 \u0438\u0437 \u043d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u043d\u0435\u0434\u043e\u043e\u0446\u0435\u043d\u0451\u043d\u043d\u044b\u0445 \u043f\u0440\u043e\u0431\u043b\u0435\u043c \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u2014 \u043a\u0440\u0438\u0437\u0438\u0441 telemetry visibility.<\/p>\n<p>\u041c\u043d\u043e\u0433\u0438\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u0441\u0447\u0438\u0442\u0430\u044e\u0442, \u0447\u0442\u043e \u043d\u0430\u043b\u0438\u0447\u0438\u0435 SIEM \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 \u043d\u0430\u043b\u0438\u0447\u0438\u0435 visibility.<\/p>\n<p>\u041d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u044d\u0442\u043e \u043d\u0435 \u0442\u0430\u043a.<\/p>\n<p>\u0421\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0439 SOC \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0437\u0430\u0432\u0438\u0441\u0438\u0442 \u043d\u0435 \u043e\u0442 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0430 \u0434\u0430\u0448\u0431\u043e\u0440\u0434\u043e\u0432, \u0430 \u043e\u0442 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0430 telemetry architecture.<\/p>\n<p>\u0411\u0435\u0437 telemetry \u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u044b:<\/p>\n<ul>\n<li>\n<p> DFIR; <\/p>\n<\/li>\n<li>\n<p> Threat Hunting; <\/p>\n<\/li>\n<li>\n<p> ATT&amp;CK mapping; <\/p>\n<\/li>\n<li>\n<p> behavior analytics; <\/p>\n<\/li>\n<li>\n<p> attack reconstruction; <\/p>\n<\/li>\n<li>\n<p> detection engineering. <\/p>\n<\/li>\n<\/ul>\n<p>\u041f\u0440\u0438 \u044d\u0442\u043e\u043c \u043d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u043e\u043f\u0430\u0441\u043d\u0430\u044f \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u2014 \u043d\u0435 \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 \u0434\u0435\u0442\u0435\u043a\u0442\u043e\u0432, \u0430 \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 \u0441\u0430\u043c\u0438\u0445 \u0434\u0430\u043d\u043d\u044b\u0445.<\/p>\n<p>\u041d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u044d\u0442\u043e \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u0435\u0442\u0441\u044f \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u043d\u043e:<\/p>\n<ul>\n<li>\n<p> \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u044e\u0442 DNS logs; <\/p>\n<\/li>\n<li>\n<p> \u043d\u0435 \u0441\u043e\u0431\u0438\u0440\u0430\u044e\u0442\u0441\u044f PowerShell logs; <\/p>\n<\/li>\n<li>\n<p> cloud audit trails \u0445\u0440\u0430\u043d\u044f\u0442\u0441\u044f \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0434\u043d\u0435\u0439; <\/p>\n<\/li>\n<li>\n<p> privileged activity \u043d\u0435 \u0436\u0443\u0440\u043d\u0430\u043b\u0438\u0440\u0443\u0435\u0442\u0441\u044f; <\/p>\n<\/li>\n<li>\n<p> authentication telemetry \u043d\u0435\u043f\u043e\u043b\u043d\u0430\u044f; <\/p>\n<\/li>\n<li>\n<p> API activity tracking \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442. <\/p>\n<\/li>\n<\/ul>\n<p>\u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u043f\u043e\u0441\u043b\u0435 compromise \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044f \u0444\u0438\u0437\u0438\u0447\u0435\u0441\u043a\u0438 \u043d\u0435 \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u0430 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c chronology intrusion.<\/p>\n<p>\u041f\u043e \u0441\u0443\u0442\u0438, \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435 \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u043f\u043e\u043d\u044f\u0442\u044c:<\/p>\n<blockquote>\n<p>\u043a\u0430\u043a\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0432\u043e\u043e\u0431\u0449\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0442.<\/p>\n<\/blockquote>\n<p>\u0418\u043c\u0435\u043d\u043d\u043e \u043f\u043e\u044d\u0442\u043e\u043c\u0443 telemetry gaps \u0434\u043e\u043b\u0436\u043d\u044b \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0442\u044c\u0441\u044f \u043a\u0430\u043a \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u044b\u0439 security risk.<\/p>\n<p>\u041e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u044d\u0442\u043e \u043a\u0440\u0438\u0442\u0438\u0447\u043d\u043e \u0434\u043b\u044f:<\/p>\n<ul>\n<li>\n<p> cloud-native environments; <\/p>\n<\/li>\n<li>\n<p> hybrid infrastructure; <\/p>\n<\/li>\n<li>\n<p> telecom operators; <\/p>\n<\/li>\n<li>\n<p> distributed enterprise ecosystems. <\/p>\n<\/li>\n<\/ul>\n<h2>\u041f\u043e\u0447\u0435\u043c\u0443 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 \u0430\u0442\u0430\u043a\u0438 \u043b\u043e\u043c\u0430\u044e\u0442 \u043b\u0438\u043d\u0435\u0439\u043d\u044b\u0435 \u043c\u043e\u0434\u0435\u043b\u0438<\/h2>\n<p>\u041a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043c\u043e\u0434\u0435\u043b\u0438 \u0432\u0440\u043e\u0434\u0435 Cyber Kill Chain \u0441\u044b\u0433\u0440\u0430\u043b\u0438 \u043e\u0433\u0440\u043e\u043c\u043d\u0443\u044e \u0440\u043e\u043b\u044c \u0432 \u0440\u0430\u0437\u0432\u0438\u0442\u0438\u0438 \u0438\u043d\u0434\u0443\u0441\u0442\u0440\u0438\u0438. \u041e\u0434\u043d\u0430\u043a\u043e \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f operational reality \u0432\u0441\u0451 \u043c\u0435\u043d\u044c\u0448\u0435 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u043b\u0438\u043d\u0435\u0439\u043d\u043e\u0439 \u043c\u043e\u0434\u0435\u043b\u0438 \u0430\u0442\u0430\u043a\u0438.<\/p>\n<p>\u0421\u0435\u0433\u043e\u0434\u043d\u044f compromise \u0440\u0430\u0437\u0432\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0446\u0438\u043a\u043b\u0438\u0447\u0435\u0441\u043a\u0438.<\/p>\n<p>\u0410\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439:<\/p>\n<ul>\n<li>\n<p> \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 initial access; <\/p>\n<\/li>\n<li>\n<p> \u043f\u0440\u043e\u0432\u043e\u0434\u0438\u0442 internal reconnaissance; <\/p>\n<\/li>\n<li>\n<p> \u043c\u0435\u043d\u044f\u0435\u0442 persistence; <\/p>\n<\/li>\n<li>\n<p> \u043f\u043e\u0432\u0442\u043e\u0440\u043d\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 privilege escalation; <\/p>\n<\/li>\n<li>\n<p> \u043f\u0435\u0440\u0435\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u0442 tooling; <\/p>\n<\/li>\n<li>\n<p> \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0430\u0435\u0442\u0441\u044f \u043c\u0435\u0436\u0434\u0443 cloud \u0438 on-premise; <\/p>\n<\/li>\n<li>\n<p> \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0434\u043e\u0432\u0435\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u043e\u0442\u043d\u043e\u0448\u0435\u043d\u0438\u044f \u043c\u0435\u0436\u0434\u0443 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u043c\u0438; <\/p>\n<\/li>\n<li>\n<p> \u0430\u0434\u0430\u043f\u0442\u0438\u0440\u0443\u0435\u0442 \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0435 \u043f\u043e\u0434 telemetry environment. <\/p>\n<\/li>\n<\/ul>\n<p>\u0421\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f \u0430\u0442\u0430\u043a\u0430 \u2014 \u044d\u0442\u043e \u043d\u0435 linear attack chain.<\/p>\n<p>\u042d\u0442\u043e continuously adaptive intrusion process.<\/p>\n<p>\u0418\u043c\u0435\u043d\u043d\u043e \u043f\u043e\u044d\u0442\u043e\u043c\u0443 mature DFIR \u0441\u0435\u0433\u043e\u0434\u043d\u044f \u043a\u043e\u043d\u0446\u0435\u043d\u0442\u0440\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u043d\u0435 \u043d\u0430 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0445 IOC, \u0430 \u043d\u0430 reconstruction attack narrative.<\/p>\n<p>\u041a\u043b\u044e\u0447\u0435\u0432\u043e\u0439 \u0432\u043e\u043f\u0440\u043e\u0441 \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0431\u043e\u043b\u044c\u0448\u0435 \u043d\u0435 \u0437\u0432\u0443\u0447\u0438\u0442 \u043a\u0430\u043a:<\/p>\n<blockquote>\n<p>\u00ab\u041a\u0430\u043a\u043e\u0439 malware \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f?\u00bb<\/p>\n<\/blockquote>\n<p>\u0421\u0435\u0433\u043e\u0434\u043d\u044f \u043a\u043b\u044e\u0447\u0435\u0432\u043e\u0439 \u0432\u043e\u043f\u0440\u043e\u0441 \u0434\u0440\u0443\u0433\u043e\u0439:<\/p>\n<blockquote>\n<p>\u00ab\u041a\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u043f\u0440\u043e\u0442\u0438\u0432\u043d\u0438\u043a \u0440\u0430\u0437\u0432\u0438\u0432\u0430\u043b \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c \u043d\u0430\u0434 \u0441\u0440\u0435\u0434\u043e\u0439?\u00bb<\/p>\n<\/blockquote>\n<h2>SOC \u043a\u0430\u043a continuously adaptive analytical environment<\/h2>\n<p>\u041e\u0434\u043d\u043e\u0439 \u0438\u0437 \u043d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u0441\u0435\u0440\u044c\u0451\u0437\u043d\u044b\u0445 \u043e\u0448\u0438\u0431\u043e\u043a \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0432\u043e\u0441\u043f\u0440\u0438\u044f\u0442\u0438\u0435 SOC \u043a\u0430\u043a \u00ab\u0446\u0435\u043d\u0442\u0440\u0430 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 SIEM\u00bb.<\/p>\n<p>\u041f\u043e\u0434\u043e\u0431\u043d\u0430\u044f \u043c\u043e\u0434\u0435\u043b\u044c \u0431\u044b\u043b\u0430 \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u0430 \u0434\u0435\u0441\u044f\u0442\u044c\u2013\u043f\u044f\u0442\u043d\u0430\u0434\u0446\u0430\u0442\u044c \u043b\u0435\u0442 \u043d\u0430\u0437\u0430\u0434.<\/p>\n<p>\u0421\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0439 SOC \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u043e\u0431\u043e\u0439 continuously adaptive analytical environment, \u0432\u043d\u0443\u0442\u0440\u0438 \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e:<\/p>\n<ul>\n<li>\n<p> detection logic \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u043d\u043e \u0438\u0437\u043c\u0435\u043d\u044f\u0435\u0442\u0441\u044f; <\/p>\n<\/li>\n<li>\n<p> telemetry quality \u043d\u0435\u043f\u0440\u0435\u0440\u044b\u0432\u043d\u043e \u043e\u0446\u0435\u043d\u0438\u0432\u0430\u0435\u0442\u0441\u044f; <\/p>\n<\/li>\n<li>\n<p> ATT&amp;CK coverage \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u0438\u0440\u0443\u0435\u0442\u0441\u044f; <\/p>\n<\/li>\n<li>\n<p> false positives \u043e\u043f\u0442\u0438\u043c\u0438\u0437\u0438\u0440\u0443\u044e\u0442\u0441\u044f; <\/p>\n<\/li>\n<li>\n<p> adversary behavior reassessed continuously; <\/p>\n<\/li>\n<li>\n<p> detection engineering \u0440\u0430\u0437\u0432\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0438\u0442\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u043e. <\/p>\n<\/li>\n<\/ul>\n<p>\u0424\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 mature SOC \u0441\u0435\u0433\u043e\u0434\u043d\u044f \u0432\u0441\u0451 \u0431\u043b\u0438\u0436\u0435 \u043a engineering discipline.<\/p>\n<p>Detection Engineering \u043f\u043e\u0441\u0442\u0435\u043f\u0435\u043d\u043d\u043e \u043e\u0431\u044a\u0435\u0434\u0438\u043d\u044f\u0435\u0442:<\/p>\n<ul>\n<li>\n<p> software engineering; <\/p>\n<\/li>\n<li>\n<p> behavioral analytics; <\/p>\n<\/li>\n<li>\n<p> telemetry architecture; <\/p>\n<\/li>\n<li>\n<p> threat intelligence; <\/p>\n<\/li>\n<li>\n<p> adversary simulation. <\/p>\n<\/li>\n<\/ul>\n<p>\u041f\u0440\u0438 \u044d\u0442\u043e\u043c \u043c\u043d\u043e\u0433\u0438\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u0434\u043e \u0441\u0438\u0445 \u043f\u043e\u0440 \u0441\u0447\u0438\u0442\u0430\u044e\u0442, \u0447\u0442\u043e \u043d\u0430\u043b\u0438\u0447\u0438\u0435 SIEM already equals detection capability.<\/p>\n<p>\u041f\u0440\u0430\u043a\u0442\u0438\u043a\u0430 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043e\u0431\u0440\u0430\u0442\u043d\u043e\u0435:<\/p>\n<ul>\n<li>\n<p> SIEM without telemetry useless; <\/p>\n<\/li>\n<li>\n<p> telemetry without analytics blind; <\/p>\n<\/li>\n<li>\n<p> analytics without governance unstable; <\/p>\n<\/li>\n<li>\n<p> governance without operational security ineffective. <\/p>\n<\/li>\n<\/ul>\n<h2>Cloud radically changes DFIR<\/h2>\n<p>\u041e\u0434\u043d\u0438\u043c \u0438\u0437 \u043d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u0444\u0443\u043d\u0434\u0430\u043c\u0435\u043d\u0442\u0430\u043b\u044c\u043d\u044b\u0445 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0439 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0445 \u043b\u0435\u0442 \u0441\u0442\u0430\u043b\u043e \u0440\u0430\u0437\u0440\u0443\u0448\u0435\u043d\u0438\u0435 endpoint-centric security model.<\/p>\n<p>\u0418\u0441\u0442\u043e\u0440\u0438\u0447\u0435\u0441\u043a\u0438 DFIR \u043e\u0440\u0438\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043b\u0441\u044f \u043d\u0430:<\/p>\n<ul>\n<li>\n<p> disk forensics; <\/p>\n<\/li>\n<li>\n<p> memory analysis; <\/p>\n<\/li>\n<li>\n<p> malware artifacts; <\/p>\n<\/li>\n<li>\n<p> filesystem evidence; <\/p>\n<\/li>\n<li>\n<p> Windows persistence. <\/p>\n<\/li>\n<\/ul>\n<p>\u041e\u0434\u043d\u0430\u043a\u043e cloud-native compromise increasingly leaves no classical forensic artifacts.<\/p>\n<p>\u041a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u044f cloud identity \u043c\u043e\u0436\u0435\u0442 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043e\u0432\u0430\u0442\u044c \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e:<\/p>\n<ul>\n<li>\n<p> \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 access tokens; <\/p>\n<\/li>\n<li>\n<p> delegated permissions; <\/p>\n<\/li>\n<li>\n<p> OAuth grants; <\/p>\n<\/li>\n<li>\n<p> cloud sessions; <\/p>\n<\/li>\n<li>\n<p> API activity. <\/p>\n<\/li>\n<\/ul>\n<p>\u041f\u0440\u0438 \u044d\u0442\u043e\u043c:<\/p>\n<ul>\n<li>\n<p> malware \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442; <\/p>\n<\/li>\n<li>\n<p> endpoint \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u0435\u043d; <\/p>\n<\/li>\n<li>\n<p> disk artifacts \u043c\u0438\u043d\u0438\u043c\u0430\u043b\u044c\u043d\u044b; <\/p>\n<\/li>\n<li>\n<p> persistence \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442\u0441\u044f \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0447\u0435\u0440\u0435\u0437 identity layer. <\/p>\n<\/li>\n<\/ul>\n<p>\u042d\u0442\u043e \u0440\u0430\u0434\u0438\u043a\u0430\u043b\u044c\u043d\u043e \u043c\u0435\u043d\u044f\u0435\u0442 \u043f\u0440\u0438\u0440\u043e\u0434\u0443 \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f.<\/p>\n<p>\u0421\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0439 DFIR increasingly shifts toward:<\/p>\n<ul>\n<li>\n<p> identity analytics; <\/p>\n<\/li>\n<li>\n<p> cloud audit analysis; <\/p>\n<\/li>\n<li>\n<p> API telemetry; <\/p>\n<\/li>\n<li>\n<p> session reconstruction; <\/p>\n<\/li>\n<li>\n<p> behavioral investigation. <\/p>\n<\/li>\n<\/ul>\n<p>\u0418\u043c\u0435\u043d\u043d\u043e \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438, \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0430\u044e\u0449\u0438\u0435 \u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0432\u043e\u043a\u0440\u0443\u0433 endpoint visibility, \u043f\u043e\u0441\u0442\u0435\u043f\u0435\u043d\u043d\u043e \u0442\u0435\u0440\u044f\u044e\u0442 \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u043e\u0441\u0442\u044c \u0432\u0438\u0434\u0435\u0442\u044c \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0439 compromise.<\/p>\n<h2>Forensic readiness \u043a\u0430\u043a \u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u0435 \u0437\u0440\u0435\u043b\u043e\u0439 ISMS<\/h2>\n<p>\u041e\u0447\u0435\u043d\u044c \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e, \u0447\u0442\u043e \u043c\u043d\u043e\u0433\u0438\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u043d\u0430\u0447\u0438\u043d\u0430\u044e\u0442 \u0437\u0430\u0434\u0443\u043c\u044b\u0432\u0430\u0442\u044c\u0441\u044f \u043e forensic readiness \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u043e\u0441\u043b\u0435 \u0441\u0435\u0440\u044c\u0451\u0437\u043d\u043e\u0433\u043e \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430.<\/p>\n<p>\u041a \u044d\u0442\u043e\u043c\u0443 \u043c\u043e\u043c\u0435\u043d\u0442\u0443 \u043e\u0431\u044b\u0447\u043d\u043e \u0432\u044b\u044f\u0441\u043d\u044f\u0435\u0442\u0441\u044f:<\/p>\n<ul>\n<li>\n<p> retention \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u0435\u043d; <\/p>\n<\/li>\n<li>\n<p> logs \u0443\u0436\u0435 \u0443\u0434\u0430\u043b\u0435\u043d\u044b; <\/p>\n<\/li>\n<li>\n<p> timestamps inconsistent; <\/p>\n<\/li>\n<li>\n<p> telemetry incomplete; <\/p>\n<\/li>\n<li>\n<p> chain-of-custody \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442; <\/p>\n<\/li>\n<li>\n<p> evidence handling \u043d\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0451\u043d. <\/p>\n<\/li>\n<\/ul>\n<p>\u0418\u043c\u0435\u043d\u043d\u043e \u0437\u0434\u0435\u0441\u044c \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u043e\u0447\u0435\u0432\u0438\u0434\u043d\u043e, \u0447\u0442\u043e forensic readiness \u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0441\u0438\u043b\u0430\u043c\u0438 SOC.<\/p>\n<p>\u041e\u043d\u0430 \u0442\u0440\u0435\u0431\u0443\u0435\u0442:<\/p>\n<ul>\n<li>\n<p> governance; <\/p>\n<\/li>\n<li>\n<p> policies; <\/p>\n<\/li>\n<li>\n<p> retention management; <\/p>\n<\/li>\n<li>\n<p> accountability; <\/p>\n<\/li>\n<li>\n<p> legal coordination; <\/p>\n<\/li>\n<li>\n<p> process ownership. <\/p>\n<\/li>\n<\/ul>\n<p>\u0414\u0440\u0443\u0433\u0438\u043c\u0438 \u0441\u043b\u043e\u0432\u0430\u043c\u0438:<br \/> forensic readiness \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u0440\u044f\u043c\u044b\u043c operational \u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u0435\u043c \u0437\u0440\u0435\u043b\u043e\u0439 ISMS.<\/p>\n<p>\u0418\u043c\u0435\u043d\u043d\u043e ISO\/IEC 27001 \u0441\u043e\u0437\u0434\u0430\u0451\u0442 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0435 \u043f\u0440\u0435\u0434\u043f\u043e\u0441\u044b\u043b\u043a\u0438 \u0434\u043b\u044f:<\/p>\n<ul>\n<li>\n<p> evidence preservation; <\/p>\n<\/li>\n<li>\n<p> centralized logging; <\/p>\n<\/li>\n<li>\n<p> incident governance; <\/p>\n<\/li>\n<li>\n<p> auditability; <\/p>\n<\/li>\n<li>\n<p> legal defensibility. <\/p>\n<\/li>\n<\/ul>\n<h2>\u0421\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c \u043a\u0430\u043a \u043c\u043d\u043e\u0433\u043e\u0443\u0440\u043e\u0432\u043d\u0435\u0432\u0430\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u0430<\/h2>\n<p>\u0413\u043b\u0430\u0432\u043d\u0430\u044f \u043e\u0448\u0438\u0431\u043a\u0430 \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u0430 \u0434\u0438\u0441\u043a\u0443\u0441\u0441\u0438\u0439 \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u043f\u043e\u043f\u044b\u0442\u043a\u0435 \u043d\u0430\u0439\u0442\u0438 \u00ab\u0433\u043b\u0430\u0432\u043d\u0443\u044e\u00bb \u043c\u043e\u0434\u0435\u043b\u044c \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.<\/p>\n<p>\u0412 \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u0437\u0440\u0435\u043b\u0430\u044f cybersecurity architecture \u0432\u0441\u0435\u0433\u0434\u0430 \u043c\u043d\u043e\u0433\u043e\u0443\u0440\u043e\u0432\u043d\u0435\u0432\u0430\u044f.<\/p>\n<p>\u041a\u0430\u0436\u0434\u044b\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u0440\u0435\u0448\u0430\u0435\u0442 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u0443\u044e \u0437\u0430\u0434\u0430\u0447\u0443.<\/p>\n<h3>Governance Layer<\/h3>\n<p>\u041e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0437\u0430:<\/p>\n<ul>\n<li>\n<p> \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435; <\/p>\n<\/li>\n<li>\n<p> accountability; <\/p>\n<\/li>\n<li>\n<p> risk management; <\/p>\n<\/li>\n<li>\n<p> continuous improvement; <\/p>\n<\/li>\n<li>\n<p> resource allocation. <\/p>\n<\/li>\n<\/ul>\n<p>\u041e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 frameworks:<\/p>\n<ul>\n<li>\n<p> ISO\/IEC 27001; <\/p>\n<\/li>\n<li>\n<p> COBIT; <\/p>\n<\/li>\n<li>\n<p> Enterprise Risk Management. <\/p>\n<\/li>\n<\/ul>\n<h3>Control Layer<\/h3>\n<p>\u0420\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442 preventive and protective controls:<\/p>\n<ul>\n<li>\n<p> MFA; <\/p>\n<\/li>\n<li>\n<p> segmentation; <\/p>\n<\/li>\n<li>\n<p> PAM; <\/p>\n<\/li>\n<li>\n<p> hardening; <\/p>\n<\/li>\n<li>\n<p> backup security; <\/p>\n<\/li>\n<li>\n<p> vulnerability management. <\/p>\n<\/li>\n<\/ul>\n<h3>Adversary Behavior Layer<\/h3>\n<p>\u041e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442:<\/p>\n<ul>\n<li>\n<p> tactics; <\/p>\n<\/li>\n<li>\n<p> techniques; <\/p>\n<\/li>\n<li>\n<p> intrusion lifecycle; <\/p>\n<\/li>\n<li>\n<p> attack progression. <\/p>\n<\/li>\n<\/ul>\n<p>\u041e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 frameworks:<\/p>\n<ul>\n<li>\n<p> MITRE ATT&amp;CK; <\/p>\n<\/li>\n<li>\n<p> Unified Kill Chain; <\/p>\n<\/li>\n<li>\n<p> Diamond Model. <\/p>\n<\/li>\n<\/ul>\n<h3>Detection &amp; Response Layer<\/h3>\n<p>\u041e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0437\u0430:<\/p>\n<ul>\n<li>\n<p> monitoring; <\/p>\n<\/li>\n<li>\n<p> detection; <\/p>\n<\/li>\n<li>\n<p> investigation; <\/p>\n<\/li>\n<li>\n<p> containment; <\/p>\n<\/li>\n<li>\n<p> eradication; <\/p>\n<\/li>\n<li>\n<p> recovery. <\/p>\n<\/li>\n<\/ul>\n<p>\u041e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f:<\/p>\n<ul>\n<li>\n<p> SOC; <\/p>\n<\/li>\n<li>\n<p> DFIR; <\/p>\n<\/li>\n<li>\n<p> Threat Hunting; <\/p>\n<\/li>\n<li>\n<p> Detection Engineering. <\/p>\n<\/li>\n<\/ul>\n<h3>Adaptive Security Layer<\/h3>\n<p>\u041e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442:<\/p>\n<ul>\n<li>\n<p> continuous reassessment; <\/p>\n<\/li>\n<li>\n<p> telemetry optimization; <\/p>\n<\/li>\n<li>\n<p> analytics evolution; <\/p>\n<\/li>\n<li>\n<p> adversary-informed defense; <\/p>\n<\/li>\n<li>\n<p> purple teaming. <\/p>\n<\/li>\n<\/ul>\n<p>\u0418\u043c\u0435\u043d\u043d\u043e \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 \u0432\u0441\u0435\u0445 \u044d\u0442\u0438\u0445 \u0443\u0440\u043e\u0432\u043d\u0435\u0439 \u0444\u043e\u0440\u043c\u0438\u0440\u0443\u0435\u0442 \u0437\u0440\u0435\u043b\u0443\u044e \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c.<\/p>\n<h2>\u0417\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435<\/h2>\n<p>\u041f\u0440\u043e\u0442\u0438\u0432\u043e\u043f\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u0435 ISO\/IEC 27001 \u0438 MITRE ATT&amp;CK \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043a\u043e\u043d\u0446\u0435\u043f\u0442\u0443\u0430\u043b\u044c\u043d\u043e \u043e\u0448\u0438\u0431\u043e\u0447\u043d\u044b\u043c.<\/p>\n<p>\u041e\u043d\u0438 \u043d\u0435 \u043a\u043e\u043d\u043a\u0443\u0440\u0438\u0440\u0443\u044e\u0442.<br \/> \u041e\u043d\u0438 \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0438\u0440\u0443\u044e\u0442 \u043d\u0430 \u0440\u0430\u0437\u043d\u044b\u0445 \u0443\u0440\u043e\u0432\u043d\u044f\u0445 security architecture.<\/p>\n<p>ISO\/IEC 27001 \u0441\u043e\u0437\u0434\u0430\u0451\u0442:<\/p>\n<ul>\n<li>\n<p> governance; <\/p>\n<\/li>\n<li>\n<p> accountability; <\/p>\n<\/li>\n<li>\n<p> process management; <\/p>\n<\/li>\n<li>\n<p> risk-based decision making; <\/p>\n<\/li>\n<li>\n<p> organizational stability. <\/p>\n<\/li>\n<\/ul>\n<p>MITRE ATT&amp;CK:<\/p>\n<ul>\n<li>\n<p> \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u0443\u0435\u0442 adversary behavior; <\/p>\n<\/li>\n<li>\n<p> \u043f\u043e\u043c\u043e\u0433\u0430\u0435\u0442 detection engineering; <\/p>\n<\/li>\n<li>\n<p> \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f threat-informed defense. <\/p>\n<\/li>\n<\/ul>\n<p>DFIR:<\/p>\n<ul>\n<li>\n<p> \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442 chronology compromise; <\/p>\n<\/li>\n<li>\n<p> \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442 reconstruction attack narrative; <\/p>\n<\/li>\n<li>\n<p> \u0432\u044b\u044f\u0432\u043b\u044f\u0435\u0442 systemic weaknesses. <\/p>\n<\/li>\n<\/ul>\n<p>SOC:<\/p>\n<ul>\n<li>\n<p> \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442 telemetry-driven monitoring; <\/p>\n<\/li>\n<li>\n<p> \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442 operational visibility; <\/p>\n<\/li>\n<li>\n<p> \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 continuously adaptive detection. <\/p>\n<\/li>\n<\/ul>\n<p>\u0421\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e, \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f cybersecurity \u043d\u0435 \u043c\u043e\u0436\u0435\u0442 \u0441\u0442\u0440\u043e\u0438\u0442\u044c\u0441\u044f:<\/p>\n<ul>\n<li>\n<p> \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043d\u0430 governance; <\/p>\n<\/li>\n<li>\n<p> \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043d\u0430 ATT&amp;CK; <\/p>\n<\/li>\n<li>\n<p> \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043d\u0430 SOC; <\/p>\n<\/li>\n<li>\n<p> \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043d\u0430 DFIR. <\/p>\n<\/li>\n<\/ul>\n<p>\u0417\u0440\u0435\u043b\u0430\u044f \u0437\u0430\u0449\u0438\u0442\u0430 \u0432\u043e\u0437\u043d\u0438\u043a\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0442\u043e\u0433\u0434\u0430, \u043a\u043e\u0433\u0434\u0430:<\/p>\n<ul>\n<li>\n<p> governance; <\/p>\n<\/li>\n<li>\n<p> controls; <\/p>\n<\/li>\n<li>\n<p> telemetry; <\/p>\n<\/li>\n<li>\n<p> detection; <\/p>\n<\/li>\n<li>\n<p> response; <\/p>\n<\/li>\n<li>\n<p> adaptation <\/p>\n<\/li>\n<\/ul>\n<p>\u0438\u043d\u0442\u0435\u0433\u0440\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0432 \u0435\u0434\u0438\u043d\u0443\u044e continuously evolving security ecosystem.<\/p>\n<p>\u0418\u043c\u0435\u043d\u043d\u043e \u0432 \u044d\u0442\u043e\u043c \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0444\u0443\u043d\u0434\u0430\u043c\u0435\u043d\u0442\u0430\u043b\u044c\u043d\u043e\u0435 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u0437\u0440\u0435\u043b\u043e\u0439 \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043e\u0442 \u043d\u0430\u0431\u043e\u0440\u0430 \u0440\u0430\u0437\u0440\u043e\u0437\u043d\u0435\u043d\u043d\u044b\u0445 \u0437\u0430\u0449\u0438\u0442\u043d\u044b\u0445 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0439.<\/p>\n<\/div>\n<p>\u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/articles\/1036654\/\">https:\/\/habr.com\/ru\/articles\/1036654\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u0412 \u043f\u0440\u043e\u0444\u0435\u0441\u0441\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u043e\u0439 \u0441\u0440\u0435\u0434\u0435 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0432 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 \u0433\u043e\u0434\u044b \u0432\u0441\u0451 \u0447\u0430\u0449\u0435 \u043c\u043e\u0436\u043d\u043e \u0443\u0441\u043b\u044b\u0448\u0430\u0442\u044c \u0442\u0435\u0437\u0438\u0441 \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u043a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u044b \u0441\u0435\u043c\u0435\u0439\u0441\u0442\u0432\u0430 ISO\/IEC 27000 \u044f\u043a\u043e\u0431\u044b \u0443\u0442\u0440\u0430\u0442\u0438\u043b\u0438 \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0443\u044e \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u044c \u0434\u043b\u044f \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438. \u041e\u0431\u044b\u0447\u043d\u043e \u043f\u043e\u0434\u043e\u0431\u043d\u0430\u044f \u043f\u043e\u0437\u0438\u0446\u0438\u044f \u0441\u043e\u043f\u0440\u043e\u0432\u043e\u0436\u0434\u0430\u0435\u0442\u0441\u044f \u0443\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u044f\u043c\u0438 \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u0440\u0435\u0430\u043b\u044c\u043d\u0430\u044f \u0437\u0430\u0449\u0438\u0442\u0430 \u0441\u0435\u0433\u043e\u0434\u043d\u044f \u0441\u0442\u0440\u043e\u0438\u0442\u0441\u044f \u0432\u043e\u043a\u0440\u0443\u0433 MITRE ATT&amp;CK, Threat Hunting, DFIR (Digital Forensics and Incident Response), Detection Engineering \u0438 SOC (Security Operations Center), \u0442\u043e\u0433\u0434\u0430 \u043a\u0430\u043a ISO\/IEC 27001 \u0432\u043e\u0441\u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0435\u0442\u0441\u044f \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043a\u0430\u043a compliance-framework \u0434\u043b\u044f \u0430\u0443\u0434\u0438\u0442\u0430 \u0438 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438.\u041f\u043e\u0434\u043e\u0431\u043d\u0430\u044f \u0442\u043e\u0447\u043a\u0430 \u0437\u0440\u0435\u043d\u0438\u044f \u0441\u0442\u0430\u043b\u0430 \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u043e\u0439 \u043d\u0430 \u0444\u043e\u043d\u0435 \u0440\u043e\u0441\u0442\u0430: ransomware-\u044d\u043a\u043e\u0441\u0438\u0441\u0442\u0435\u043c;  \u0430\u0442\u0430\u043a \u043d\u0430 cloud infrastructure;  \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438 identity systems;  supply-chain \u0430\u0442\u0430\u043a;  \u0437\u043b\u043e\u0443\u043f\u043e\u0442\u0440\u0435\u0431\u043b\u0435\u043d\u0438\u044f \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u043c\u0438 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u0438\u0432\u043d\u044b\u043c\u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u043c\u0438;  \u0430\u0442\u0430\u043a \u0431\u0435\u0437 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u043a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e malware. \u041d\u0430 \u043f\u0435\u0440\u0432\u044b\u0439 \u0432\u0437\u0433\u043b\u044f\u0434 \u043f\u043e\u0434\u043e\u0431\u043d\u0430\u044f \u043b\u043e\u0433\u0438\u043a\u0430 \u043a\u0430\u0436\u0435\u0442\u0441\u044f \u0443\u0431\u0435\u0434\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439. \u0414\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e, ISO\/IEC 27001:2022 \u043d\u0435 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442: lateral movement (\u0433\u043e\u0440\u0438\u0437\u043e\u043d\u0442\u0430\u043b\u044c\u043d\u043e\u0435 \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u0435);  credential dumping (\u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u0435 \u0443\u0447\u0451\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445);  persistence techniques (\u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u044b \u0437\u0430\u043a\u0440\u0435\u043f\u043b\u0435\u043d\u0438\u044f);  command-and-control;  privilege escalation;  defense evasion. \u0418\u0437 \u044d\u0442\u043e\u0433\u043e \u043c\u043d\u043e\u0433\u0438\u0435 \u0434\u0435\u043b\u0430\u044e\u0442 \u043e\u0448\u0438\u0431\u043e\u0447\u043d\u044b\u0439 \u0432\u044b\u0432\u043e\u0434:\u0435\u0441\u043b\u0438 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442 \u043d\u0435 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 \u0430\u0442\u0430\u043a\u0438, \u0437\u043d\u0430\u0447\u0438\u0442 \u043e\u043d \u043d\u0435 \u043f\u0440\u0438\u043c\u0435\u043d\u0438\u043c \u043a \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.\u041e\u0434\u043d\u0430\u043a\u043e \u043f\u043e\u0434\u043e\u0431\u043d\u0430\u044f \u043b\u043e\u0433\u0438\u043a\u0430 \u043e\u0441\u043d\u043e\u0432\u0430\u043d\u0430 \u043d\u0430 \u0444\u0443\u043d\u0434\u0430\u043c\u0435\u043d\u0442\u0430\u043b\u044c\u043d\u043e\u043c \u043c\u0435\u0442\u043e\u0434\u043e\u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u043e\u043c \u0441\u043c\u0435\u0448\u0435\u043d\u0438\u0438 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u043d\u044b\u0445 \u0443\u0440\u043e\u0432\u043d\u0435\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.\u041f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e: ISO\/IEC 27001;  MITRE ATT&amp;CK;  DFIR;  SOC;  Threat Hunting;  Detection Engineering \u0440\u0435\u0448\u0430\u044e\u0442 \u0440\u0430\u0437\u043d\u044b\u0435 \u0437\u0430\u0434\u0430\u0447\u0438 \u0438 \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0438\u0440\u0443\u044e\u0442 \u043d\u0430 \u0440\u0430\u0437\u043d\u044b\u0445 \u0443\u0440\u043e\u0432\u043d\u044f\u0445 \u043e\u0434\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.\u0418\u0445 \u043f\u0440\u044f\u043c\u043e\u0435 \u0441\u0440\u0430\u0432\u043d\u0435\u043d\u0438\u0435 \u043c\u0435\u0442\u043e\u0434\u043e\u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u0438 \u043d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e.\u0413\u043b\u0430\u0432\u043d\u0430\u044f \u043e\u0448\u0438\u0431\u043a\u0430 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u0434\u0438\u0441\u043a\u0443\u0441\u0441\u0438\u0438\u0421\u0435\u0433\u043e\u0434\u043d\u044f \u0432 \u0438\u043d\u0434\u0443\u0441\u0442\u0440\u0438\u0438 \u0432\u0441\u0451 \u0447\u0430\u0449\u0435 \u0444\u043e\u0440\u043c\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u043e\u0448\u0438\u0431\u043e\u0447\u043d\u043e\u0435 \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u043f\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u0435:\u043b\u0438\u0431\u043e governance \u0438 ISO\/IEC 27001,\u043b\u0438\u0431\u043e ATT&amp;CK \u0438 operational security.\u041d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u043f\u043e\u0434\u043e\u0431\u043d\u043e\u0435 \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u043f\u043e\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0432\u043e\u0437\u043d\u0438\u043a\u0430\u0435\u0442 \u0438\u0437-\u0437\u0430 \u0441\u043c\u0435\u0448\u0435\u043d\u0438\u044f: governance layer;  operational layer;  detection layer;  incident response layer. ISO\/IEC 27001 \u043d\u0438\u043a\u043e\u0433\u0434\u0430 \u043d\u0435 \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u043b\u0441\u044f \u043a\u0430\u043a \u043c\u043e\u0434\u0435\u043b\u044c \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e. \u0415\u0433\u043e \u0437\u0430\u0434\u0430\u0447\u0430 \u2014 \u043d\u0435 \u043e\u0431\u044a\u044f\u0441\u043d\u044f\u0442\u044c, \u043a\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442 Kerberos delegation abuse, OAuth persistence \u0438\u043b\u0438 lateral movement \u0447\u0435\u0440\u0435\u0437 PsExec.\u0421\u0442\u0430\u043d\u0434\u0430\u0440\u0442 \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u043d\u0430 \u0441\u043e\u0432\u0435\u0440\u0448\u0435\u043d\u043d\u043e \u0434\u0440\u0443\u0433\u0438\u0435 \u0432\u043e\u043f\u0440\u043e\u0441\u044b: \u043a\u0430\u043a \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044f \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c\u044e;  \u043a\u0430\u043a \u0440\u0430\u0441\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442\u0441\u044f \u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0441\u0442\u044c;  \u043a\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u044e\u0442\u0441\u044f risk-based decisions;  \u043a\u0430\u043a \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442\u0441\u044f accountability;  \u043a\u0430\u043a \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442\u0441\u044f continuous improvement;  \u043a\u0430\u043a \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0443\u0435\u0442\u0441\u044f \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430\u043c\u0438;  \u043a\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0443\u0441\u0442\u043e\u0439\u0447\u0438\u0432\u043e\u0441\u0442\u044c \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438. MITRE ATT&amp;CK, \u043d\u0430\u043f\u0440\u043e\u0442\u0438\u0432, \u0432\u043e\u043e\u0431\u0449\u0435 \u043d\u0435 \u0437\u0430\u043d\u0438\u043c\u0430\u0435\u0442\u0441\u044f governance.ATT&amp;CK \u043d\u0435 \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442: \u043a\u0442\u043e \u0432\u043b\u0430\u0434\u0435\u043b\u0435\u0446 \u0440\u0438\u0441\u043a\u0430;  \u043a\u0430\u043a \u043f\u0440\u043e\u0432\u043e\u0434\u0438\u0442\u0441\u044f management review;  \u043a\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u043e\u0432\u0430\u043d \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0439 \u0430\u0443\u0434\u0438\u0442;  \u043a\u0430\u043a \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u043f\u043e\u0441\u0442\u0430\u0432\u0449\u0438\u043a\u0438;  \u043a\u0430\u043a \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442\u0441\u044f supplier security;  \u043a\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442\u0441\u044f forensic readiness. ATT&amp;CK \u0440\u0435\u0448\u0430\u0435\u0442 \u0441\u043e\u0432\u0435\u0440\u0448\u0435\u043d\u043d\u043e \u0434\u0440\u0443\u0433\u0443\u044e \u0437\u0430\u0434\u0430\u0447\u0443 \u2014 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0442\u0438\u0437\u0430\u0446\u0438\u044e adversary behavior (\u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430).\u0421\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e: ATT&amp;CK \u043d\u0435 \u0437\u0430\u043c\u0435\u043d\u044f\u0435\u0442 ISO\/IEC 27001;  ISO\/IEC 27001 \u043d\u0435 \u0437\u0430\u043c\u0435\u043d\u044f\u0435\u0442 ATT&amp;CK. \u041e\u043d\u0438 \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0438\u0440\u0443\u044e\u0442 \u043d\u0430 \u0440\u0430\u0437\u043d\u044b\u0445 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u043d\u044b\u0445 \u0443\u0440\u043e\u0432\u043d\u044f\u0445 \u0438 \u0432\u0437\u0430\u0438\u043c\u043d\u043e \u0434\u043e\u043f\u043e\u043b\u043d\u044f\u044e\u0442 \u0434\u0440\u0443\u0433 \u0434\u0440\u0443\u0433\u0430.\u041f\u043e\u0447\u0435\u043c\u0443 operational security \u0431\u0435\u0437 governance \u0431\u044b\u0441\u0442\u0440\u043e \u0434\u0435\u0433\u0440\u0430\u0434\u0438\u0440\u0443\u0435\u0442\u041e\u0434\u043d\u043e\u0439 \u0438\u0437 \u0441\u0430\u043c\u044b\u0445 \u043e\u043f\u0430\u0441\u043d\u044b\u0445 \u0438\u043b\u043b\u044e\u0437\u0438\u0439 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u0438\u043d\u0434\u0443\u0441\u0442\u0440\u0438\u0438 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0443\u0431\u0435\u0436\u0434\u0435\u043d\u0438\u0435, \u0447\u0442\u043e \u043d\u0430\u043b\u0438\u0447\u0438\u0435: SIEM;  EDR\/XDR;  Threat Intelligence;  ATT&amp;CK mapping;  Threat Hunting;  Detection Engineering \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0434\u0435\u043b\u0430\u0435\u0442 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044e \u0437\u0440\u0435\u043b\u043e\u0439 \u0432 \u043e\u0431\u043b\u0430\u0441\u0442\u0438 \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.\u041f\u0440\u0430\u043a\u0442\u0438\u043a\u0430 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043e\u0431\u0440\u0430\u0442\u043d\u043e\u0435.\u0412\u043e \u043c\u043d\u043e\u0433\u0438\u0445 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044f\u0445 operational security \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0444\u0440\u0430\u0433\u043c\u0435\u043d\u0442\u0430\u0440\u043d\u043e: logging coverage \u043d\u0435\u043f\u043e\u043b\u043d\u044b\u0439;  telemetry \u0440\u0430\u0437\u0440\u043e\u0437\u043d\u0435\u043d\u0430;  retention \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u0435\u043d;  ownership \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442;  cloud audit logs \u0445\u0440\u0430\u043d\u044f\u0442\u0441\u044f \u0441\u043b\u0438\u0448\u043a\u043e\u043c \u043a\u043e\u0440\u043e\u0442\u043a\u043e;  \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u044e\u0442\u0441\u044f \u0432\u0440\u0443\u0447\u043d\u0443\u044e;  detection logic \u043d\u0435 \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u043e;  visibility \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d. \u041f\u0440\u0438 \u044d\u0442\u043e\u043c \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044f \u043c\u043e\u0436\u0435\u0442 \u043e\u0431\u043b\u0430\u0434\u0430\u0442\u044c: \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u043c SOC;  \u0434\u043e\u0440\u043e\u0433\u043e\u0441\u0442\u043e\u044f\u0449\u0435\u0439 SIEM-\u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c\u043e\u0439;  ATT&amp;CK dashboards;  \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u0438\u043c Threat Intelligence;  XDR-\u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u043e\u0439. \u041d\u043e \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 governance \u043f\u0440\u0438\u0432\u043e\u0434\u0438\u0442 \u043a \u0442\u043e\u043c\u0443, \u0447\u0442\u043e operational security \u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u0432 \u043d\u0430\u0431\u043e\u0440 \u0440\u0430\u0437\u0440\u043e\u0437\u043d\u0435\u043d\u043d\u044b\u0445 \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0438\u043d\u0438\u0446\u0438\u0430\u0442\u0438\u0432.\u041d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u044d\u0442\u043e \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0437\u043d\u0430\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043c\u0435\u043d\u0435\u0435 \u043a\u0440\u0430\u0441\u0438\u0432\u043e, \u0447\u0435\u043c \u0432 \u043f\u0440\u0435\u0437\u0435\u043d\u0442\u0430\u0446\u0438\u044f\u0445 \u0432\u0435\u043d\u0434\u043e\u0440\u043e\u0432.\u041e\u0447\u0435\u043d\u044c \u043c\u043d\u043e\u0433\u0438\u0435 SOC \u0443\u0432\u0435\u0440\u0435\u043d\u044b, \u0447\u0442\u043e \u043e\u0431\u043b\u0430\u0434\u0430\u044e\u0442 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u044b\u043c visibility, \u043f\u043e\u043a\u0430 \u043d\u0435 \u0441\u0442\u0430\u043b\u043a\u0438\u0432\u0430\u044e\u0442\u0441\u044f \u0441 \u0441\u0435\u0440\u044c\u0451\u0437\u043d\u044b\u043c \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u043e\u043c. \u041f\u043e\u0441\u043b\u0435 \u044d\u0442\u043e\u0433\u043e \u0432\u043d\u0435\u0437\u0430\u043f\u043d\u043e \u0432\u044b\u044f\u0441\u043d\u044f\u0435\u0442\u0441\u044f: DNS telemetry \u043d\u0438\u043a\u043e\u0433\u0434\u0430 \u043f\u043e\u043b\u043d\u043e\u0446\u0435\u043d\u043d\u043e \u043d\u0435 \u0441\u043e\u0431\u0438\u0440\u0430\u043b\u0430\u0441\u044c;  PowerShell logging \u043e\u0442\u043a\u043b\u044e\u0447\u0451\u043d;  retention \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u0435\u043c\u044c \u0434\u043d\u0435\u0439;  cloud audit logs \u0443\u0436\u0435 \u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0438\u0441\u0430\u043d\u044b;  \u0441\u0438\u043d\u0445\u0440\u043e\u043d\u0438\u0437\u0430\u0446\u0438\u044f \u0432\u0440\u0435\u043c\u0435\u043d\u0438 \u043c\u0435\u0436\u0434\u0443 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u043c\u0438 \u043d\u0430\u0440\u0443\u0448\u0435\u043d\u0430;  \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0430\u044f \u0447\u0430\u0441\u0442\u044c \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u0432\u043e\u043e\u0431\u0449\u0435 \u043d\u0435 \u0438\u043d\u0442\u0435\u0433\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u0430 \u0432 SIEM. \u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435 \u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u043d\u0435 \u0432 reconstruction attack chain, \u0430 \u0432 \u043f\u043e\u043f\u044b\u0442\u043a\u0443 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043f\u043e \u0444\u0440\u0430\u0433\u043c\u0435\u043d\u0442\u0430\u043c \u0430\u0440\u0442\u0435\u0444\u0430\u043a\u0442\u043e\u0432.\u0418\u043c\u0435\u043d\u043d\u043e \u0437\u0434\u0435\u0441\u044c \u043f\u0440\u043e\u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0440\u0435\u0430\u043b\u044c\u043d\u0430\u044f \u0440\u043e\u043b\u044c ISO\/IEC 27001.\u0417\u0440\u0435\u043b\u0430\u044f ISMS (Information Security Management System) \u0441\u043e\u0437\u0434\u0430\u0451\u0442 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u043e\u043d\u043d\u0443\u044e \u0441\u0440\u0435\u0434\u0443, \u0432\u043d\u0443\u0442\u0440\u0438 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 operational cybersecurity \u0432\u043e\u043e\u0431\u0449\u0435 \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0439.\u0418\u043c\u0435\u043d\u043d\u043e governance-driven processes \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u044e\u0442: \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0436\u0443\u0440\u043d\u0430\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435;  \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u044f \u043a retention;  \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f\u043c\u0438;  supplier security;  \u0440\u0430\u0441\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u0435 \u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0441\u0442\u0438;  \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u0443\u044e \u043e\u0446\u0435\u043d\u043a\u0443 \u0440\u0438\u0441\u043a\u043e\u0432;  incident governance;  forensic readiness;  auditability. \u0411\u0435\u0437 \u044d\u0442\u043e\u0433\u043e SOC \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0432\u0441\u043b\u0435\u043f\u0443\u044e.ATT&amp;CK \u043d\u0435 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u043e\u0439 \u0437\u0430\u0449\u0438\u0442\u044b\u0412 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 \u0433\u043e\u0434\u044b MITRE ATT&amp;CK \u0444\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0441\u0442\u0430\u043b industry standard \u0434\u043b\u044f: threat-informed defense;  detection engineering;  adversary emulation;  threat hunting. \u041e\u0434\u043d\u0430\u043a\u043e \u0432\u043e\u043a\u0440\u0443\u0433 ATT&amp;CK \u043f\u043e\u0441\u0442\u0435\u043f\u0435\u043d\u043d\u043e \u0441\u0444\u043e\u0440\u043c\u0438\u0440\u043e\u0432\u0430\u043b\u043e\u0441\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0435 \u0438\u0441\u043a\u0430\u0436\u0435\u043d\u0438\u0435.\u041c\u043d\u043e\u0433\u0438\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u043d\u0430\u0447\u0430\u043b\u0438 \u0432\u043e\u0441\u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0442\u044c ATT&amp;CK coverage \u043a\u0430\u043a \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c \u0437\u0440\u0435\u043b\u043e\u0441\u0442\u0438 \u0437\u0430\u0449\u0438\u0442\u044b.\u041d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u044d\u0442\u043e \u0447\u0430\u0441\u0442\u043e \u043f\u0440\u0438\u0432\u043e\u0434\u0438\u0442 \u043a \u0434\u0435\u043a\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.\u0412\u043e \u043c\u043d\u043e\u0433\u0438\u0445 SOC ATT&amp;CK mapping \u0441\u0432\u043e\u0434\u0438\u0442\u0441\u044f \u043a \u0444\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u043e\u0439 \u043f\u0440\u0438\u0432\u044f\u0437\u043a\u0435 alert\u2019\u043e\u0432 \u043a techniques: T1059;  T1027;  T1566;  T1078. \u041f\u0440\u0438 \u044d\u0442\u043e\u043c: \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u043e detection logic \u043d\u0435 \u0443\u043b\u0443\u0447\u0448\u0430\u0435\u0442\u0441\u044f;  false positive rate \u043e\u0441\u0442\u0430\u0451\u0442\u0441\u044f \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u043c;  telemetry gaps \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u044e\u0442\u0441\u044f;  lateral movement \u043f\u043e-\u043f\u0440\u0435\u0436\u043d\u0435\u043c\u0443 \u043d\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442\u0441\u044f;  cloud visibility \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d;  identity abuse \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043d\u0435 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u0443\u0435\u0442\u0441\u044f. \u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 ATT&amp;CK \u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u0432 \u043a\u0440\u0430\u0441\u0438\u0432\u0443\u044e \u043a\u043b\u0430\u0441\u0441\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u043e\u043d\u043d\u0443\u044e \u043d\u0430\u0434\u0441\u0442\u0440\u043e\u0439\u043a\u0443 \u043f\u043e\u0432\u0435\u0440\u0445 \u0441\u043b\u0430\u0431\u043e\u0439 detection architecture.\u041e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u0445\u043e\u0440\u043e\u0448\u043e \u044d\u0442\u043e \u0432\u0438\u0434\u043d\u043e \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0445 \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0439.\u041c\u043d\u043e\u0433\u0438\u0435 SOC \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u044b \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c ATT&amp;CK heatmap, \u043d\u043e \u043f\u0440\u0438 \u044d\u0442\u043e\u043c \u043d\u0435 \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u044b \u043e\u0442\u0432\u0435\u0442\u0438\u0442\u044c \u043d\u0430 \u0431\u0430\u0437\u043e\u0432\u044b\u0435 \u0432\u043e\u043f\u0440\u043e\u0441\u044b: \u043a\u0430\u043a \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u0437\u0430\u043a\u0440\u0435\u043f\u0438\u043b\u0441\u044f;  \u043a\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u0440\u0430\u0437\u0432\u0438\u0432\u0430\u043b\u0430\u0441\u044c \u0430\u0442\u0430\u043a\u0430;  \u043a\u043e\u0433\u0434\u0430 \u043d\u0430\u0447\u0430\u043b\u0430\u0441\u044c credential compromise;  \u043a\u0430\u043a\u0438\u0435 \u0443\u0447\u0451\u0442\u043d\u044b\u0435 \u0437\u0430\u043f\u0438\u0441\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c;  \u043a\u0430\u043a\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0431\u044b\u043b\u0438 \u0437\u0430\u0442\u0440\u043e\u043d\u0443\u0442\u044b. \u041d\u0430\u043b\u0438\u0447\u0438\u0435 ATT&amp;CK coverage \u0441\u0430\u043c\u043e \u043f\u043e \u0441\u0435\u0431\u0435 \u043d\u0435 \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u043e\u0441\u0442\u044c \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0442\u044c adversary behavior.ATT&amp;CK \u2014 \u044d\u0442\u043e knowledge base. \u041d\u0435 operational capability.\u041a\u0440\u0438\u0437\u0438\u0441 IOC-based security\u0422\u0440\u0430\u0434\u0438\u0446\u0438\u043e\u043d\u043d\u0430\u044f \u043c\u043e\u0434\u0435\u043b\u044c SOC \u0438\u0441\u0442\u043e\u0440\u0438\u0447\u0435\u0441\u043a\u0438 \u0441\u0442\u0440\u043e\u0438\u043b\u0430\u0441\u044c \u0432\u043e\u043a\u0440\u0443\u0433: IOC (Indicators of Compromise);  IP-addresses;  hashes;  domains;  signatures;  correlation rules. \u041f\u043e\u0434\u043e\u0431\u043d\u0430\u044f \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0430 \u043e\u0442\u043d\u043e\u0441\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u043e \u0440\u0430\u0431\u043e\u0442\u0430\u043b\u0430 \u0432 \u044d\u043f\u043e\u0445\u0443: commodity malware;  \u043f\u0440\u043e\u0441\u0442\u044b\u0445 phishing campaigns;  \u0441\u0442\u0430\u0442\u0438\u0447\u043d\u043e\u0439 command-and-control infrastructure. \u041e\u0434\u043d\u0430\u043a\u043e \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 adversaries increasingly rely on: living-off-the-land techniques;  legitimate administration tooling;  stolen session tokens;  OAuth abuse;  API keys;  cloud identities;  delegated permissions;  short-lived infrastructure. \u0412\u043e \u043c\u043d\u043e\u0433\u0438\u0445 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0445 compromise malware \u0432\u043e\u043e\u0431\u0449\u0435 \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442.\u041a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u044f Microsoft 365 \u0441\u0435\u0433\u043e\u0434\u043d\u044f \u043c\u043e\u0436\u0435\u0442 \u0432\u044b\u0433\u043b\u044f\u0434\u0435\u0442\u044c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c: successful login \u0438\u0437 \u043d\u043e\u0432\u043e\u0439 \u0433\u0435\u043e\u0433\u0440\u0430\u0444\u0438\u0438;  consent \u0434\u043b\u044f malicious OAuth application;  \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 mailbox forwarding rule;  \u0432\u044b\u0433\u0440\u0443\u0437\u043a\u0430 \u043f\u043e\u0447\u0442\u043e\u0432\u043e\u0433\u043e \u0430\u0440\u0445\u0438\u0432\u0430 \u0447\u0435\u0440\u0435\u0437 API;  persistence \u0447\u0435\u0440\u0435\u0437 delegated permissions. \u041f\u0440\u0438 \u044d\u0442\u043e\u043c: endpoint \u043e\u0441\u0442\u0430\u0451\u0442\u0441\u044f \u00ab\u0447\u0438\u0441\u0442\u044b\u043c\u00bb;  \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441 \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442;  malicious binary \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442;  disk artifacts \u043c\u0438\u043d\u0438\u043c\u0430\u043b\u044c\u043d\u044b. \u0415\u0441\u043b\u0438 SOC \u043e\u0440\u0438\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043d\u0430 IOC-model, \u043f\u043e\u0434\u043e\u0431\u043d\u0430\u044f \u0430\u0442\u0430\u043a\u0430 \u043c\u043e\u0436\u0435\u0442 \u043e\u0441\u0442\u0430\u0432\u0430\u0442\u044c\u0441\u044f \u043d\u0435\u0437\u0430\u043c\u0435\u0442\u043d\u043e\u0439 \u043d\u0435\u0434\u0435\u043b\u044f\u043c\u0438.\u0418\u043c\u0435\u043d\u043d\u043e \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f cybersecurity \u043f\u043e\u0441\u0442\u0435\u043f\u0435\u043d\u043d\u043e \u0441\u043c\u0435\u0449\u0430\u0435\u0442\u0441\u044f \u0432 \u0441\u0442\u043e\u0440\u043e\u043d\u0443: behavior analytics;  telemetry correlation;  identity monitoring;  anomaly detection;  attack sequence reconstruction. Telemetry \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u0444\u0443\u043d\u0434\u0430\u043c\u0435\u043d\u0442\u043e\u043c \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438\u041e\u0434\u043d\u0430 \u0438\u0437 \u043d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u043d\u0435\u0434\u043e\u043e\u0446\u0435\u043d\u0451\u043d\u043d\u044b\u0445 \u043f\u0440\u043e\u0431\u043b\u0435\u043c \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0439 \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u2014 \u043a\u0440\u0438\u0437\u0438\u0441 telemetry visibility.\u041c\u043d\u043e\u0433\u0438\u0435 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u0441\u0447\u0438\u0442\u0430\u044e\u0442, \u0447\u0442\u043e \u043d\u0430\u043b\u0438\u0447\u0438\u0435 SIEM \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 \u043d\u0430\u043b\u0438\u0447\u0438\u0435 visibility.\u041d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u044d\u0442\u043e \u043d\u0435 \u0442\u0430\u043a.\u0421\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0439 SOC \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0437\u0430\u0432\u0438\u0441\u0438\u0442 \u043d\u0435 \u043e\u0442 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0430 \u0434\u0430\u0448\u0431\u043e\u0440\u0434\u043e\u0432, \u0430 \u043e\u0442 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0430 telemetry architecture.\u0411\u0435\u0437 telemetry \u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u044b: DFIR;  Threat Hunting;  ATT&amp;CK mapping;  behavior analytics;  attack reconstruction;  detection engineering. \u041f\u0440\u0438 \u044d\u0442\u043e\u043c \u043d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u043e\u043f\u0430\u0441\u043d\u0430\u044f \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u2014 \u043d\u0435 \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 \u0434\u0435\u0442\u0435\u043a\u0442\u043e\u0432, \u0430 \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 \u0441\u0430\u043c\u0438\u0445 \u0434\u0430\u043d\u043d\u044b\u0445.\u041d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u044d\u0442\u043e \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u0435\u0442\u0441\u044f \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u043d\u043e: \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u044e\u0442 DNS logs;  \u043d\u0435 \u0441\u043e\u0431\u0438\u0440\u0430\u044e\u0442\u0441\u044f PowerShell logs;  cloud audit trails \u0445\u0440\u0430\u043d\u044f\u0442\u0441\u044f \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0434\u043d\u0435\u0439;  privileged activity \u043d\u0435 \u0436\u0443\u0440\u043d\u0430\u043b\u0438\u0440\u0443\u0435\u0442\u0441\u044f;  authentication telemetry \u043d\u0435\u043f\u043e\u043b\u043d\u0430\u044f;  API activity tracking \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442. \u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u043f\u043e\u0441\u043b\u0435 compromise \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u044f \u0444\u0438\u0437\u0438\u0447\u0435\u0441\u043a\u0438 \u043d\u0435 \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u0430 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c chronology intrusion.\u041f\u043e \u0441\u0443\u0442\u0438, \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435 \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u0441 \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u043f\u043e\u043d\u044f\u0442\u044c:\u043a\u0430\u043a\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0432\u043e\u043e\u0431\u0449\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0442.\u0418\u043c\u0435\u043d\u043d\u043e \u043f\u043e\u044d\u0442\u043e\u043c\u0443 telemetry gaps \u0434\u043e\u043b\u0436\u043d\u044b \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0442\u044c\u0441\u044f \u043a\u0430\u043a \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u044b\u0439 security risk.\u041e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u044d\u0442\u043e \u043a\u0440\u0438\u0442\u0438\u0447\u043d\u043e \u0434\u043b\u044f: cloud-native environments;  hybrid infrastructure;  telecom operators;  distributed enterprise ecosystems. \u041f\u043e\u0447\u0435\u043c\u0443 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 \u0430\u0442\u0430\u043a\u0438 \u043b\u043e\u043c\u0430\u044e\u0442 \u043b\u0438\u043d\u0435\u0439\u043d\u044b\u0435 \u043c\u043e\u0434\u0435\u043b\u0438\u041a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u043c\u043e\u0434\u0435\u043b\u0438 \u0432\u0440\u043e\u0434\u0435 Cyber Kill Chain \u0441\u044b\u0433\u0440\u0430\u043b\u0438 \u043e\u0433\u0440\u043e\u043c\u043d\u0443\u044e \u0440\u043e\u043b\u044c \u0432 \u0440\u0430\u0437\u0432\u0438\u0442\u0438\u0438 \u0438\u043d\u0434\u0443\u0441\u0442\u0440\u0438\u0438. \u041e\u0434\u043d\u0430\u043a\u043e \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f operational reality \u0432\u0441\u0451 \u043c\u0435\u043d\u044c\u0448\u0435 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u043b\u0438\u043d\u0435\u0439\u043d\u043e\u0439 \u043c\u043e\u0434\u0435\u043b\u0438 \u0430\u0442\u0430\u043a\u0438.\u0421\u0435\u0433\u043e\u0434\u043d\u044f compromise \u0440\u0430\u0437\u0432\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0446\u0438\u043a\u043b\u0438\u0447\u0435\u0441\u043a\u0438.\u0410\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439: \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 initial access;  \u043f\u0440\u043e\u0432\u043e\u0434\u0438\u0442 internal reconnaissance;  \u043c\u0435\u043d\u044f\u0435\u0442 persistence;  \u043f\u043e\u0432\u0442\u043e\u0440\u043d\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 privilege escalation;  \u043f\u0435\u0440\u0435\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u0442 tooling;  \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0430\u0435\u0442\u0441\u044f \u043c\u0435\u0436\u0434\u0443 cloud \u0438 on-premise;  \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0434\u043e\u0432\u0435\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u043e\u0442\u043d\u043e\u0448\u0435\u043d\u0438\u044f \u043c\u0435\u0436\u0434\u0443 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u043c\u0438;  \u0430\u0434\u0430\u043f\u0442\u0438\u0440\u0443\u0435\u0442 \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0435 \u043f\u043e\u0434 telemetry environment. \u0421\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f \u0430\u0442\u0430\u043a\u0430 \u2014 \u044d\u0442\u043e \u043d\u0435 linear attack chain.\u042d\u0442\u043e continuously adaptive intrusion process.\u0418\u043c\u0435\u043d\u043d\u043e \u043f\u043e\u044d\u0442\u043e\u043c\u0443 mature DFIR \u0441\u0435\u0433\u043e\u0434\u043d\u044f \u043a\u043e\u043d\u0446\u0435\u043d\u0442\u0440\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u043d\u0435 \u043d\u0430 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0445 IOC, \u0430 \u043d\u0430 reconstruction attack&#8230;<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-480180","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/480180","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=480180"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/480180\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=480180"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=480180"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=480180"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}