1
00:00:03,000 --> 00:00:04,280
Καλώς ήρθατε πίσω.

2
00:00:04,280 --> 00:00:07,280
Μάθατε
πώς να εντοπίζετε Indicators of Compromise.

3
00:00:07,440 --> 00:00:10,040
Τώρα ας δούμε πώς οι οργανισμοί
παρακολουθούν τα συστήματα

4
00:00:10,040 --> 00:00:13,040
συνεχώς για να εντοπίζουν απειλές
καθώς συμβαίνουν.

5
00:00:13,400 --> 00:00:17,400
Σε αυτό το μάθημα θα παρουσιάσουμε
τα συστήματα Security Information and Event Management

6
00:00:17,760 --> 00:00:21,280
(SIEM)
ισχυρές πλατφόρμες που συλλέγουν,

7
00:00:21,440 --> 00:00:24,840
αναλύουν και ειδοποιούν για περιστατικά ασφαλείας
σε όλη την επιχείρηση.

8
00:00:26,160 --> 00:00:29,480
Το Security monitoring είναι η πρακτική
της συνεχούς παρακολούθησης

9
00:00:29,480 --> 00:00:33,440
δραστηριότητας σε όλο το δίκτυο,
τα συστήματα και τις εφαρμογές σας.

10
00:00:34,040 --> 00:00:37,040
Βοηθά στον εντοπισμό ύποπτων logins,

11
00:00:37,320 --> 00:00:39,040
ασυνήθιστης κίνησης,

12
00:00:39,040 --> 00:00:40,880
συμπεριφοράς malware,

13
00:00:40,880 --> 00:00:42,760
εσωτερικής κατάχρησης.

14
00:00:42,760 --> 00:00:46,080
Το Monitoring σάς δίνει ορατότητα σε πραγματικό χρόνο (real time visibility)
στο τι συμβαίνει

15
00:00:46,080 --> 00:00:49,080
και βοηθά στον εντοπισμό απειλών
πριν εξαπλωθούν.

16
00:00:49,720 --> 00:00:53,320
Ένα σύστημα SIEM σημαίνει Security
Information and Event Management.

17
00:00:53,760 --> 00:00:57,080
Είναι μια κεντρική πλατφόρμα
που συλλέγει logs και δεδομένα

18
00:00:57,080 --> 00:01:00,720
από πολλαπλές πηγές,
συσχετίζει γεγονότα για να βρει μοτίβα,

19
00:01:01,320 --> 00:01:04,320
παράγει alerts για ύποπτη
ή υψηλού κινδύνου δραστηριότητα.

20
00:01:04,920 --> 00:01:07,360
Δημοφιλή εργαλεία SIEM περιλαμβάνουν το Splunk,

21
00:01:07,360 --> 00:01:10,280
QRadar, ArcSight, και Microsoft Sentinel.

22
00:01:11,520 --> 00:01:12,520
Ένα SIEM συγκεντρώνει

23
00:01:12,520 --> 00:01:16,680
δεδομένα από πολλές πηγές,
συμπεριλαμβανομένων firewalls και routers,

24
00:01:17,120 --> 00:01:19,920
λειτουργικών συστημάτων, και file servers,

25
00:01:19,920 --> 00:01:22,560
εργαλείων antivirus και EDR,

26
00:01:22,560 --> 00:01:25,600
εφαρμογών
όπως email και cloud platforms.

27
00:01:26,360 --> 00:01:28,600
Όσο περισσότερα δεδομένα τροφοδοτείτε στο σύστημα,

28
00:01:28,600 --> 00:01:31,600
τόσο πιο ολοκληρωμένη γίνεται η ορατότητά σας.

29
00:01:32,000 --> 00:01:35,000
Να πώς ένα SIEM μπορεί να εντοπίσει μια επίθεση.

30
00:01:35,240 --> 00:01:39,200
1. Ένα login συμβαίνει από μια νέα χώρα
στις 3:12 π.μ.

31
00:01:39,720 --> 00:01:42,080
2. Δέκα λεπτά αργότερα,

32
00:01:42,080 --> 00:01:45,080
ο ίδιος χρήστης αποκτά πρόσβαση σε ευαίσθητα δεδομένα.

33
00:01:45,720 --> 00:01:49,760
3. Το SIEM συσχετίζει
αυτά τα γεγονότα και ενεργοποιεί ένα alert.

34
00:01:50,520 --> 00:01:53,160
Ο αναλυτής βλέπει την πλήρη εικόνα
σε ένα μέρος,

35
00:01:53,160 --> 00:01:56,160
ερευνά και κλιμακώνει αν χρειαστεί.

36
00:01:56,320 --> 00:02:00,480
Χωρίς ένα SIEM, αυτά τα στοιχεία μπορεί να χάνονταν
σε ασύνδετα logs.

37
00:02:01,720 --> 00:02:03,360
Στους περισσότερους οργανισμούς,

38
00:02:03,360 --> 00:02:07,200
τα SIEMs είναι το κεντρικό νευρικό σύστημα
του Security Operations Center (SOC).

39
00:02:07,640 --> 00:02:11,640
Οι SOC analysts παρακολουθούν
το SIEM dashboard

40
00:02:12,240 --> 00:02:15,240
εξετάζοντας alerts, ερευνώντας ανωμαλίες,

41
00:02:15,600 --> 00:02:18,600
κλιμακώνοντας πραγματικές απειλές
στην Incident Response Team.

42
00:02:19,320 --> 00:02:23,040
Ένα καλά ρυθμισμένο SIEM βοηθά στη μείωση
του θορύβου, στην ανάδειξη πραγματικών κινδύνων,

43
00:02:23,320 --> 00:02:25,600
και στην καθοδήγηση γρήγορων αποφάσεων.

44
00:02:25,600 --> 00:02:27,760
Έτοιμοι για ένα μικρό επαναληπτικό κουίζ;

45
00:02:27,760 --> 00:02:30,840
Ερώτηση πρώτη
ποιος είναι ο σκοπός ενός συστήματος SIEM;

46
00:02:31,840 --> 00:02:34,840
Α αποθηκεύει κωδικούς πρόσβασης με ασφάλεια.

47
00:02:35,360 --> 00:02:38,280
Β φιλοξενεί εταιρικές ιστοσελίδες.

48
00:02:38,280 --> 00:02:41,960
Γ συλλέγει και αναλύει
περιστατικά ασφαλείας.

49
00:02:42,680 --> 00:02:45,680
Δ διαγράφει αχρησιμοποίητα αρχεία.

50
00:02:45,960 --> 00:02:48,960
Παύση.

51
00:02:51,920 --> 00:02:52,800
Η σωστή απάντηση

52
00:02:52,800 --> 00:02:55,800
είναι Γ. Ένα SIEM συλλέγει και συσχετίζει

53
00:02:55,800 --> 00:02:58,960
γεγονότα από πολλαπλές πηγές
για τον εντοπισμό ύποπτης δραστηριότητας.

54
00:03:00,240 --> 00:03:03,880
Ερώτηση δύο γιατί είναι σημαντικό το συνεχές security
monitoring;

55
00:03:04,880 --> 00:03:07,760
Α για τη μείωση του χρόνου εκκίνησης του συστήματος.

56
00:03:07,760 --> 00:03:10,760
Β για τον εντοπισμό απειλών πριν κλιμακωθούν.

57
00:03:11,040 --> 00:03:13,720
Γ για τη συμπίεση αρχείων log.

58
00:03:13,720 --> 00:03:16,720
Δ για την απεγκατάσταση παλιού λογισμικού.

59
00:03:16,800 --> 00:03:19,800
Σκεφτείτε το καλά.

60
00:03:22,920 --> 00:03:23,960
Η σωστή απάντηση είναι

61
00:03:23,960 --> 00:03:28,800
Β. Το Security monitoring βοηθά στο να πιαστούν επιθέσεις
σε εξέλιξη πριν συμβεί μεγάλη ζημιά.

62
00:03:29,560 --> 00:03:32,400
Τελευταία ερώτηση ποια πηγή δεδομένων

63
00:03:32,400 --> 00:03:35,800
τροφοδοτείται συνήθως σε ένα SIEM; Α επίπεδα

64
00:03:35,800 --> 00:03:36,960
μελάνης εκτυπωτή.

65
00:03:36,960 --> 00:03:39,480
Β προγράμματα γευμάτων εργαζομένων.

66
00:03:39,480 --> 00:03:42,480
Γ firewall logs και γεγονότα συστήματος.

67
00:03:42,720 --> 00:03:44,720
Δ προσκλήσεις ημερολογίου.

68
00:03:44,720 --> 00:03:47,720
Παύση και σκεφτείτε.

69
00:03:51,120 --> 00:03:51,600
Η σωστή

70
00:03:51,600 --> 00:03:55,440
επιλογή απάντησης είναι Γ. Τα SIEMs εισάγουν logs
από συστήματα,

71
00:03:55,440 --> 00:03:58,520
εφαρμογές, firewalls,
και άλλα για τον εντοπισμό ζητημάτων ασφαλείας.

72
00:03:59,760 --> 00:04:00,960
Εξαιρετική δουλειά.

73
00:04:00,960 --> 00:04:04,600
Τώρα ξέρετε πώς τα SIEMs και τα εργαλεία security
monitoring δίνουν στους αμυνόμενους

74
00:04:04,600 --> 00:04:08,280
ορατότητα σε πραγματικό χρόνο και βοηθούν τους αναλυτές
να εντοπίζουν απειλές γρήγορα.

75
00:04:08,880 --> 00:04:11,880
Στη συνέχεια,
περνάμε από τον εντοπισμό στην απόκριση.

76
00:04:12,200 --> 00:04:15,200
Τι συμβαίνει αφού επιβεβαιωθεί μια απειλή;

77
00:04:15,440 --> 00:04:17,440
Ας ξεκινήσουμε την επόμενη φάση μας.

78
00:04:17,440 --> 00:04:19,320
Incident response fundamentals.