x
Поиск Техническая поддержка Учебный портал Киберразведка TTL

БЕСПЛАТНОЕ ОБУЧЕНИЕ ПО SECURITY CAPSULE SIEM –

Развивайтесь с нами

Пройдите тестирование и получите именной сертификат!

SECURITY CAPSULE SIEM

Познакомьтесь с нашим решением по мониторингу событий
и выявлению инцидентов информационной безопасности

SC SIEM выигрывает там, где важна скорость, минимальные ресурсы и возможность быстро создать правила корреляции

/ CRATU

ПУБЛИКАЦИИ

Rhadamanthys: как проверить видимость IOC в SIEM
15 мая 2026 31 6 мин.

Rhadamanthys: как проверить видимость IOC в SIEM

SC SIEM + CRATU ThreatLens Диагностика видимости угроз Rhadamanthys

На примере Rhadamanthys показываем, как связать данные CRATU ThreatLens, события инфраструктуры и расследование в Security Capsule SIEM.

Для службы информационной безопасности важно не только получить список индикаторов компрометации, но и понять, можно ли проверить эти индикаторы в собственных событиях: на сетевом периметре, рабочих станциях, серверах, в Windows, Sysmon и Active Directory.

Обсудить пилот Запросить консультацию Презентация SC SIEM

ПОЧЕМУ IOC НЕДОСТАТОЧНО ПРОСТО СОХРАНИТЬ

Публикации об актуальных вредоносных семействах обычно содержат IP-адреса, домены, URL, хеши файлов и другие индикаторы компрометации. Для аналитика это полезная информация, но сама по себе она ещё не означает, что организация готова обнаружить связанную активность в своей инфраструктуре.

На примере Rhadamanthys этот вопрос особенно показателен. Вредоносные кампании, связанные с похитителями информации, могут затрагивать рабочие станции пользователей, сетевые обращения, запуск процессов, создание файлов и использование доменных учётных записей.

Поэтому ключевой диагностический вопрос звучит так: если в инфраструктуре появится активность, связанная с IOC по Rhadamanthys, увидит ли её служба ИБ?

IOC ≠ расследование

Индикатор становится полезным только тогда, когда его можно проверить в событиях, связать с пользователем, хостом, процессом и использовать в карточке инцидента.

КАКОЙ МАРШРУТ НУЖНО ПРОВЕРИТЬ

Диагностический маршрут не требует сложной имитации атаки. Его задача — проверить, превращается ли внешний контекст угрозы в события, инциденты и понятный ход расследования внутри SIEM.

Практическая логика проверки выглядит так: CRATU ThreatLens → IOC → события источников → корреляция → инцидент в SC SIEM → расследование → вывод для пилота.

Смысл проверки

Не доказать наличие заражения, а оценить готовность источников и процессов мониторинга к обнаружению похожей активности.

ЧТО ДОЛЖНА УВИДЕТЬ СЛУЖБА ИБ

При проверке IOC-first расследования важно смотреть не только на совпадение с индикатором, но и на полноту контекста вокруг события.
Сетевой признак

Обращение к домену, IP-адресу или URL из ThreatLens должно быть видно в событиях proxy, DNS, firewall, антивируса или другого подключённого источника.

Файловый признак

Если используется хеш файла, SC SIEM должна позволять проверить его в событиях антивируса, EDR, Sysmon или других источников конечных узлов.

Процесс и командная строка

Для расследования важно видеть ProcessCreate, ParentImage, CommandLine, NetworkConnection и FileCreate, чтобы восстановить локальный контекст активности.

Пользователь и хост

Событие должно быть связано с рабочей станцией, сервером, пользователем или доменной учётной записью, иначе расследование быстро упирается в нехватку контекста.

Связь событий

Отдельный IOC редко даёт полную картину. Важно, чтобы события связывались в цепочку: источник, процесс, сеть, файл, пользователь, время.

Инцидент в SIEM

Итогом проверки должен быть не набор разрозненных записей, а управляемый инцидент, который можно назначить, прокомментировать, расследовать и закрыть.

КАК СВЯЗАНЫ CRATU THREATLENS И SC SIEM

CRATU ThreatLens в этом сценарии выступает источником внешнего аналитического контекста: сведения о вредоносном семействе, связанные индикаторы, инфраструктура и связи с другими сущностями.

Security Capsule SIEM используется как рабочая среда проверки. Система принимает события от источников, позволяет сопоставлять их с IOC, формировать инциденты и вести расследование с учётом пользователя, хоста, процесса, сетевого направления и других атрибутов.

В результате внешняя киберразведка перестаёт быть отдельной справкой и становится частью процесса мониторинга: от индикатора до расследования и управленческого вывода.

Связка двух контуров

ThreatLens отвечает на вопрос «что проверять», SC SIEM — на вопрос «видим ли мы это в собственной инфраструктуре».

ОТ IOC К УПРАВЛЯЕМОМУ ИНЦИДЕНТУ

ThreatLens

Даёт контекст Rhadamanthys: семейство, связи, индикаторы и признаки активности.

IOC

Проверяются в событиях по доменам, IP-адресам, URL, хешам и другим признакам.

SC SIEM

Собирает события, применяет правила корреляции и формирует инцидент для аналитика.

Расследование

SOC получает контекст, связанные события, комментарии, статус и вывод по проверке.

КАКИЕ ПОЛЯ И СОБЫТИЯ ОСОБЕННО ВАЖНЫ

На сетевом уровне полезны поля, которые позволяют связать индикатор с источником активности: dst_ip, domain, url, sha256, src_ip, host, user, timestamp, source.

На уровне Windows и Sysmon для расследования важны события и атрибуты, которые показывают происхождение активности: ProcessCreate, ParentImage, CommandLine, NetworkConnection, FileCreate.

Если дополнительно доступен контекст Active Directory, аналитик может быстрее понять, какая доменная учётная запись была задействована, к какому хосту относится событие и есть ли рядом по времени значимые изменения в домене.

Диагностический минимум

Проверить поступление событий от Windows, Sysmon, AD, DNS, proxy, firewall и средств защиты. Отдельно оценить, хватает ли данных для расследования.

Проверить источники

КАКОЙ РЕЗУЛЬТАТ СЧИТАТЬ ПОЛЕЗНЫМ

Диагностика полезна даже тогда, когда совпадений с IOC не найдено. Важно понять, готова ли инфраструктура к проверке такого сценария.
Положительный результат

IOC можно проверить в текущих и исторических событиях, событие связывается с источником, пользователем, хостом и процессом, а в SC SIEM формируется инцидент для расследования.

Частичный результат

Индикатор виден только в одном источнике, отсутствует связь с процессом или пользователем, не хватает данных AD либо отдельные источники ещё не подключены к SC SIEM.

ЭКСПЕРТНЫЙ ВЫВОД

Зрелость мониторинга определяется не количеством сохранённых индикаторов, а способностью инфраструктуры ответить на практический вопрос: увидим ли мы признаки похожей активности у себя и сможем ли быстро объяснить, что произошло?

IOC-first расследование по Rhadamanthys — это удобный диагностический сценарий для пилота SC SIEM. Он помогает проверить источники событий, качество контекста, работу корреляции и готовность SOC к расследованию инцидентов на основе данных киберразведки.

Следующий шаг

Проверьте, может ли ваша инфраструктура превратить IOC из ThreatLens в событие, инцидент и понятный маршрут расследования.

Обсудить пилот
Rhadamanthys CRATU ThreatLens Security Capsule SIEM Threat Intelligence IOC Sysmon Active Directory Корреляция событий Расследование инцидентов Пилот SIEM

Связанные материалы

Презентация SC SIEM

Кратко о платформе, расследовании, IoC, контроле Active Directory и архитектурных вариантах развертывания.

Скачать
Пилот SC SIEM

Проверка источников, событий, корреляции, инцидентов и применимости системы к инфраструктуре заказчика.

Обсудить пилот
Security Capsule SIEM

Подробнее о возможностях SC SIEM для мониторинга, корреляции, расследования и сопровождения инцидентов ИБ.

Перейти к продукту

Подписывайтесь на нас в Вконтакте, чтобы первыми узнавать о новостях и эксклюзивных материалах компании.

Возврат к списку

ВЕБИНАРЫ

  • 29 Май
  • Пятница
  • 12:18 - 14:00 175
  • UTC +3:00 (Московское время)

Обзор Security Capsule SIEM

Все расписание