Выпущен плейбук реагирования на инциденты Unix-like (Linux) для Security Capsule SIEM
22.10.2025Компания ИТБ представила новый Плейбук реагирования на инциденты Unix-like (Linux) для пользователей Security Capsule SIEM (SC SIEM). Документ основан на лучших мировых практиках, использует подходы CTI и практики ENISA, охватывает auditd, journald/syslog и события ядра/пользовательского пространства, а также сопоставляет сценарии с матрицей MITRE ATT&CK. Для каждого детекта приведены примеры auditd-правил, ориентиры обогащения и корреляции в SC SIEM (включая xbits для kill chain).
Что внутри
- Подготовка: источники (auditd, journald/syslog), профили аудита и исключения «шумных» процессов, надёжная доставка логов.
- Обнаружение и корреляция: конвейер детекции, поведенческие цепочки и xbits, практики шумоподавления, состав алертов.
- Процедура IR: анализ → идентификация → эскалация → сдерживание → удаление → восстановление → уроки/улучшения.
- Сценарии MITRE: T1070/T1562, T1059, T1543.002, T1053.003, T1548, T1105/T1041, T1040, T1620/T1055.008, T1574.006, T1496 и др.
Ранее: плейбук реагирования на инциденты Windows
Для экосистемы SC SIEM ранее был выпущен Плейбук реагирования на инциденты Windows с привязкой к Windows Security Event ID, сценариями по MITRE ATT&CK и пошаговыми runbook’ами. Оба документа дополняют друг друга и обеспечивают единый процесс IR в смешанных инфраструктурах.
Кому пригодится
- SOC-аналитикам (T1/T2)
- IR/Forensics/Threat Hunting командам
- Linux/DevOps/SRE и специалистам ИБ
Заместитель генерального директора по информационной безопасности, ИТБ
Мы сделали плейбук для Unix-like (Linux), потому что именно на этих платформах сегодня живёт значимая часть критичных сервисов клиентов — от веб-узлов и БД до контейнерных платформ. Командам SOC часто не хватает «сквозной» методики: как правильно включить auditd, чем обогащать события, какие корреляции в SC SIEM использовать и как выстроить действия от анализа до восстановления. Наш плейбук закрывает этот разрыв: даёт готовые правила auditd, примеры корреляций и поведенческие цепочки на xbits, снижает шум и MTTR, а главное — превращает разрозненные логи в управляемый процесс реагирования.
Мы делаем этот документ доступным именно пользователям SC SIEM и участникам тест-драйва, чтобы обеспечить наилучшее качество внедрения и поддержку. Он дополняет ранее выпущенный плейбук для Windows и помогает выстроить единый стандарт IR в смешанных инфраструктурах.
Как получить
Плейбук предоставляется только действующим клиентам SC SIEM и участникам тест-драйва.