Реагирование на инциденты ИБ — тренированный процесс, а не импровизация в 3 часа ночи. Строим workflow, дежурную смену и связку с SOC.
Что входит в услугу
- Процесс IRP — от обнаружения до постмортема
- Категории инцидентов — с приоритетами и SLA
- Runbooks — пошаговые инструкции для типовых сценариев
- Связь с SOC — если есть внешний или внутренний SOC
- Форензика — сбор артефактов, цепочка хранения
- Учебные тревоги — имитация реальных атак
- Постмортемы — без поиска виноватых, с извлечением уроков
- Отчётность — для регуляторов и руководства
Как мы работаем
- Аудит текущих процессов — как реагируете сейчас, где провалы
- Классификация и SLA — что критично, что — нет, сроки
- Runbooks — фишинг, ransomware, утечка, DDoS и т.д.
- Платформа — SOAR: TheHive, Splunk SOAR, R-Vision
- Учебная тревога — имитация — проверяем процесс на практике
- Регулярные ревью — после каждого инцидента
Стек и инструменты
- TheHive Project, Cortex
- Splunk SOAR (Phantom)
- R-Vision SOAR
- Velociraptor, GRR для форензики
- MISP для threat intel
- Jira для трекинга инцидентов
Стоимость
Процесс + runbooks
от 125 000 ₽
регламент, 10 runbooks, обучение
SOAR-платформа
от 280 000 ₽
TheHive + обучение + интеграции
Почему это работает у АЙТИЛ
- CISSP/CISM-сертифицированные инцидент-менеджеры
- Опыт реального реагирования на ransomware, утечки, целевые атаки
- Постмортемы без blame — учит, а не наказывает