Z
Никто не учит
Size: a a a
2021 January 13
К
и где описание того, как производится выявление?
Z
Более того специалистов не готовят вообще нигде
К
Ну камон вендор же не должен учить
ну вообще чуть выше написано, что должны учиться сами. кроме того, с Splunk ES, например, подробные описания каждого коробочного правила распространяются
К
ну вообще чуть выше написано, что должны учиться сами. кроме того, с Splunk ES, например, подробные описания каждого коробочного правила распространяются
RS
и где описание того, как производится выявление?
это хороший вопрос
в принципе, описать то можно
вопрос в реальной востребованности
в принципе, описать то можно
вопрос в реальной востребованности
E
ну разве только весь код правил жирно комментами вымазать
К
Если речь о прямо подробном уровня "берём такое-то событие, сравниваем с таким" и т.д., то это уже и правда вопрос востребованности. Я думаю, всё же человек, претендующий на позицию "специалиста по СИЕМ" (не важно МР СИЕМ или другой) должен понимать о чем речь идёт и так.
К
это хороший вопрос
в принципе, описать то можно
вопрос в реальной востребованности
в принципе, описать то можно
вопрос в реальной востребованности
ну по хорошему коробочный контент выбрасывается и пишется свой на базе идей, часть из которых можно взять из коробки.
Z
ну по хорошему коробочный контент выбрасывается и пишется свой на базе идей, часть из которых можно взять из коробки.
Ага :)) адаптируется
К
ну разве только весь код правил жирно комментами вымазать
# Яхз как оно тут работает, пилил кто-то до меня
E
# Яхз как оно тут работает, пилил кто-то до меня
# не трогать этот блок
К
ну разве только весь код правил жирно комментами вымазать
ну нет, ещё раз - посмотрите описания контента в Splunk ES, они доступны публично.
К
там четко описано, выявляет такую-то активность, по таким событиями, смотрит в таких полях соответствие тому-то и тому то
К
ну нет, ещё раз - посмотрите описания контента в Splunk ES, они доступны публично.
А дайте посмотреть. А то гугл чот только маркетинговый булшит выдаёт
К
не говоря уже о том, что вы сами рекомендуете настроить аудит создания процессов в виндах и их же мониторить sysmon-ом, в то время, как правила ваши... правильно, заведут по одному инциденту на каждое из событий
К
да, решается изменением одной строчки, но для этого уже надо форкнуть коробочное правило
К
то есть уже "требуется доработка напильником человеком, который может разобраться, где эксперт ПТ накосячил в правиле" и как минимум хорошо умеет читать код правил корреляции