Как можно автоматизировать реагирование на инциденты с помощью Jupyter Notebooks?

Артём Сычев
Руководитель направления отдела мониторинга ИБ в АльфаСтрахование
Введение
В ходе мастер-класса рассмотрим, как можно автоматизировать процесс реагирования на инциденты с помощью Jupyter Notebooks и проекта Apache Airflow.
- создание плейбуков для реагирования на инциденты как ноутбук в Jupyter notebooks (почему это удобно и круто);
- как можно автоматизировать запуск ноутбуков при наступлении определенных событий с помощью open-source инструмента для создания пайпланов (оркестрации событий) Apache Airflow;
- расскажу как можно искать похожие инциденты в базе инцидентов (например, thehive);
- расскажу про использование машинного обучения для поиска похожих хостов/инцидентов в ноутбуке Jupyter Notebook.
Слушатели познакомятся с Jupyter notebooks, узнают как они применяются в машинном обучении; узнают что с помощью них можно автоматически генерировать красивые отчеты для руководства в формате pdf, html, проводить анализ данных при выявлении инцидентов и др.
Также рассмотрим пример использования машинного обучения для поиска похожих хостов при расследовании инцидента, что видится очень полезным.
Содержание мастер-класса
Гитхабизация информационной безопасности
- Организованное знание
- Действенная Аналитика
- Воспроизводимый Анализ
Jupyter Notebook
- Что это?
- Особенности
- Установка и использование
- Применение в процессе обработки инцидентов ИБ
- Плейбуки
- Примеры использования Jupyter Notebook (Поиск аномальной авторизации по RDP)
- Применение в процессе реагирования на инциденты ИБ
Jupyter Notebook + SIGMA
- SIGMA
- Параметризация ноутбуков
- Автоматизация Jupyter Notebook + SIGMA
- Apache Airflow
- Операторы
- PapermillOperator
- Визуализация
- Apache Superset
Ресурсы
- Как научиться писать ноутбуки?
- Где «подсмотреть» best practices?
- Обучение
Наш сайт использует cookie
Настоящий сайт использует файлы cookies. Используя настоящий сайт, вы соглашаетесь со сбором информации с помощью файлов cookies и условиями Политики конфиденциальности.
Код ИБ АКАДЕМИЯ
academy@codeib.ru
+7 (800) 511-07-26
авторизуйтесь