Как можно автоматизировать реагирование на инциденты с помощью Jupyter Notebooks?

Руководитель направления отдела мониторинга ИБ в АльфаСтрахование

В ходе мастер-класса рассмотрим, как можно автоматизировать процесс реагирования на инциденты с помощью Jupyter Notebooks и проекта Apache Airflow. 

• создание плейбуков для реагирования на инциденты как ноутбук в Jupyter notebooks (почему это удобно и круто);
• как можно автоматизировать запуск ноутбуков при наступлении определенных событий с помощью open-source инструмента для создания пайпланов (оркестрации событий) Apache Airflow;
• расскажу как можно искать похожие инциденты в базе инцидентов (например, thehive);
• расскажу про использование машинного обучения для поиска похожих хостов/инцидентов в ноутбуке Jupyter Notebook.

Слушатели познакомятся с Jupyter notebooks, узнают как они применяются в машинном обучении; узнают что с помощью них можно автоматически генерировать красивые отчеты для руководства в формате pdf, html, проводить анализ данных при выявлении инцидентов и др.

Также рассмотрим пример использования машинного обучения для поиска похожих хостов при расследовании инцидента, что видится очень полезным.

Гитхабизация информационной безопасности

• Организованное  знание
• Действенная  Аналитика
• Воспроизводимый  Анализ

Jupyter Notebook

• Что это?
• Особенности
• Установка и использование
• Применение в процессе обработки инцидентов ИБ
• Плейбуки
• Примеры использования Jupyter Notebook (Поиск аномальной  авторизации по RDP)
• Применение в процессе реагирования на инциденты ИБ

Jupyter Notebook + SIGMA

• SIGMA
• Параметризация ноутбуков
• Автоматизация Jupyter Notebook + SIGMA
• Apache Airflow
• Операторы
• PapermillOperator
• Визуализация
• Apache Superset

Ресурсы

• Как научиться писать ноутбуки?
• Где «подсмотреть» best practices?
• Обучение