Продолжаем цикл наших статей «SOC for beginners». В прошлый раз мы говорили о том, как внедрить в компании [Threat Intelligence][1] и не пожалеть. Сегодня хотелось бы поговорить о том, как организовать процессы, чтобы обеспечить непрерывный мониторинг инцидентов и оперативное реагирование на атаки.

В первом полугодии 2017 г. совокупный среднесуточный поток событий ИБ, обрабатываемых SIEM-системами и используемых Solar JSOC для оказания сервиса, составлял **6,156 миллиардов**. Событий с подозрением на инцидент – в среднем около **960 в сутки**. Каждый шестой инцидент – **критичный**. При этом для наших клиентов, в числе которых «Тинькофф Банк», «СТС Медиа» или «Почта Банк», вопрос оперативности информирования об атаке и получения рекомендаций по противодействию стоит очень остро.

Мы решили рассказать, как мы решали эту задачу, с какими проблемами столкнулись, и какой метод организации работы в итоге используем.

![][2]
[Читать дальше →][3]

[1]: https://habrahabr.ru/company/solarsecurity/blog/343574/
[2]: https://habrastorage.org/webt/59/e7/1d/59e71dfc73a51846323425.jpeg
[3]: https://habrahabr.ru/post/344632/?utm_source=habrahabr&utm_medium=rss&utm_campaign=344632#habracut