# SOC теория

- [Матрица MITRE ATT\&CK, Cyber Kill Chain, UKC](/blue-team-cookbook/soc/mitre-attack.md): Модели для описания атак и действий злоумышленников
- [Логи: что собирать и откуда, чтобы эффективно обнаруживать атаки](/blue-team-cookbook/soc/logs.md): Разбираемся с типами логов и какие из них принесут наибольшую пользу, а какие только съедят EPS и мощности SIEM
- [Источники данных для подключения в SIEM](/blue-team-cookbook/soc/logs/istochniki-dannykh-dlya-podklyucheniya-v-siem.md): Какие источники данных критичны для эффективной работы SIEM-системы: список обязательных логов, примеры «шумных» источников и рекомендации по оптимизации нагрузки SIEM
- [Обязательные источники для SIEM](/blue-team-cookbook/soc/logs/obyazatelnye-istochniki-dlya-siem.md): Какие системы подключать в SIEM в первую очередь
- [Разработка правил обнаружения атак](/blue-team-cookbook/soc/detection-engineering.md): Detection Engineering для SIEM
- [Инструменты создания правил](/blue-team-cookbook/soc/detection-engineering/tools.md): Языки и форматы написания правил обнаружения
- [10 правил SIEM, с которых надо начать](/blue-team-cookbook/soc/detection-engineering/top-siem-rules.md): Наиболее универсальные и полезные правила, с которых стоит начать разработку детектирующего контента.
- [Технологии в SOC: продукты и средства защиты информации](/blue-team-cookbook/soc/tekhnologii-v-soc-produkty-i-sredstva-zashity-informacii.md): Generative AI и XDR звучат круто, но EDR и SIEM основа мониторинга. Внедряйте технологии на "склоне просвещения" – NTA (NDR), TIP уже проверены и работают. SOAR требуют неоправданно больших вложений