Size: a a a

2020 September 04

В

В баре in MaxPatrol SIEM
Добрый день!
Возможно ли изменять шаблон отчета "перечень инцидентов" к примеру?
источник

PL

Pavel Lysov in MaxPatrol SIEM
добрый день, в принципе возможно, но это не так и просто, прямо скажем.
источник

PL

Pavel Lysov in MaxPatrol SIEM
шаблон редактируется в xml с помощью IDE от FastReport
источник
2020 September 05

NA

Nikolai Arefiev in MaxPatrol SIEM
Всем привет. А есть ли где-то инфа о том в каких полях каких типов событий (хотя бы до уровня event_src.category) можно найти IP, Domain, E-mail, Parent process, Childe process, Parent params, Child params, New registry key, Old registry key?
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
Вы, конечно, спросите за кейс... а я отвечу за кейс
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
Нормальный ретро анализ
источник

e

e6e6e in MaxPatrol SIEM
Nikolai Arefiev
Всем привет. А есть ли где-то инфа о том в каких полях каких типов событий (хотя бы до уровня event_src.category) можно найти IP, Domain, E-mail, Parent process, Childe process, Parent params, Child params, New registry key, Old registry key?
Думаю, что ты и сам понимаешь, что консолидированной инфы нет.
Т к тот же email/domain блуждает по самым разным полям нормализованного события, а часто даже не нормализуются =|
Если кейс это ретро анализ, то, думаю, что лучше отталкиваться от уже реализованной логики (правил) выявления. Можно сделать как-то так:
1. Выдернуть все нужные правила/фильтры выявления.
2. Сгруппировать их по типам артефактов, которые используются для выявления.
3. В каждом типе пробежаться по каждому правилу и выделить нужные поля нормализованных событий.
4. Очень внимательно смотреть, чтобы эти поля не изменились после обновления системного контента.

ЗЫ
Конечно, КО, но а чего ты ещё ожидал? )
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
Вот зачем ты так жестоко... я же до конца надеялся, что можно обойтись без вот этого всего  )))
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
Методика нормализации там какая, вдруг, есть )
источник

e

e6e6e in MaxPatrol SIEM
Nikolai Arefiev
Методика нормализации там какая, вдруг, есть )
Да-да, стандарт по нормализации событий )
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
Garbage in, garbage out )
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
e6e6e
Думаю, что ты и сам понимаешь, что консолидированной инфы нет.
Т к тот же email/domain блуждает по самым разным полям нормализованного события, а часто даже не нормализуются =|
Если кейс это ретро анализ, то, думаю, что лучше отталкиваться от уже реализованной логики (правил) выявления. Можно сделать как-то так:
1. Выдернуть все нужные правила/фильтры выявления.
2. Сгруппировать их по типам артефактов, которые используются для выявления.
3. В каждом типе пробежаться по каждому правилу и выделить нужные поля нормализованных событий.
4. Очень внимательно смотреть, чтобы эти поля не изменились после обновления системного контента.

ЗЫ
Конечно, КО, но а чего ты ещё ожидал? )
Вот просто оперировать только тем, по чему есть правила и фильтры - хороший подход, но с полнотой покрытия будет фигня.
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
У нас ведь ретроанализ делается сторонней от MP вундервафлей не просто так )))
источник

e

e6e6e in MaxPatrol SIEM
Nikolai Arefiev
Вот просто оперировать только тем, по чему есть правила и фильтры - хороший подход, но с полнотой покрытия будет фигня.
Получается, что и в текущей схеме правил выявления с полнотой покрытия "фигня" =)
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
источник

e

e6e6e in MaxPatrol SIEM
Ну и я бы не забывал, что много кастомщины и в каждой инфре кастом формулы для разных источников.
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
У нас с этим проще, мы стараемся кастомщины не допускать )
источник

e

e6e6e in MaxPatrol SIEM
Nikolai Arefiev
У нас с этим проще, мы стараемся кастомщины не допускать )
То есть только коробочная нормализация?
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
Просто своя коробочная нормализация )
источник

e

e6e6e in MaxPatrol SIEM
Nikolai Arefiev
Просто своя коробочная нормализация )
А есть методика по написанию своей нормализации? )
источник