C
Благодарю за ответы! Буду разбираться
Основной challenge будет в предотвращении дублей и разделении инцидентов по узлам-нарушителям.
Подумайте сначала, как вы будете реагировать. Может вам одного инцидента в сутки на всех хватит
Size: a a a
2021 April 14
RS
В качестве тактирующих отлично годятся WMI подписки, кстати. Прямо в профиле частоту задать можно в запросе. Собирать агентом с самого себя
RS
Ну и алгоритм принятия решения о нарушении вам надо очень чётко представлять. Как задать эталон? Что делать, если он меняется?
C
В моём случае эталон наверное это будет что порт закрыт, если порт открыт соответственно какой то сервис там начал работать и генерируется инцидент.
RS
Источник информации об открытости кто? Host discovery и pentest? Они у вас в фоне постоянно идут?
C
Постоянно не идут, планировалось по расписанию запускать
C
Источник... это уже тестировать надо, что будет лучше
N
Переслано от Ksenia Kirillova
Друзья, через 20 минут начинаем наш онлайн-запуск новой версии PT Sandbox. Присоединяйтесь по ссылке: https://youtu.be/dtngvgtkGRo
К
18+, однако
m
думаешь, что стоило 21+ поставить?
К
ну если вы туда реальный "кастомер экспириенс" показывать будете, то, пожалуй, да... и площадку выбрать другую, а то это вроде как запрещенный на тытрубе контент
RS
ну вот если вы запускаете сканирование раз в сутки или реже, то, кажется, можно сделать следующие предположения:
1) Целью генерации алерта/инцидента является привлечение внимание условного аналитика к факту наличия проблемы как таковой
2) Для начала "расследования" аналитику будет достаточно выполнить сохранённый PDQL запрос, которые выведет список узлов и открытых портов
3) Генерировать "инцидент" чаще раза в сутки нет никакого смысла
Тогда, например, вы можете проверять результаты сканирования раз в несколько десятков минут
При непустоте табличного списка со списком открытых портов в контролируемой подсети/группе активов, сразу же создавать алерт или инцидент
Повторные алерты не регистрировать при помощи "заглушения" генерации вставкой записи в список с TTL равным 24 часам и проверкой его непустоты в фильтре
Аналитик начинает реагировать до окончания сканирования по факту получения первых данных об открытых портах. Но допроверка остального делается им вручную
Вот возможная и легко реализуемая схема
1) Целью генерации алерта/инцидента является привлечение внимание условного аналитика к факту наличия проблемы как таковой
2) Для начала "расследования" аналитику будет достаточно выполнить сохранённый PDQL запрос, которые выведет список узлов и открытых портов
3) Генерировать "инцидент" чаще раза в сутки нет никакого смысла
Тогда, например, вы можете проверять результаты сканирования раз в несколько десятков минут
При непустоте табличного списка со списком открытых портов в контролируемой подсети/группе активов, сразу же создавать алерт или инцидент
Повторные алерты не регистрировать при помощи "заглушения" генерации вставкой записи в список с TTL равным 24 часам и проверкой его непустоты в фильтре
Аналитик начинает реагировать до окончания сканирования по факту получения первых данных об открытых портах. Но допроверка остального делается им вручную
Вот возможная и легко реализуемая схема
C
Спасибо за развёрнутый ответ, вроде все ваши слова и логику построения процесса понял
RS
процесс тут всему голова
алерты сами по себе не нужны
алерты сами по себе не нужны
RS
регулярность поступления данных и реакции важны
если бы вы контролировали порты через анализ трафика, делать надо было бы по другому, скорее всего
если бы вы контролировали порты через анализ трафика, делать надо было бы по другому, скорее всего
C
Единственное я не понимаю как через pdql запрос получить список портов актива. Зайдя в актив там порты просто ведь перечисленны, у них нет никакой переменной.
RS
что такое "переменная"?
C
Это я имею ввиду «поле»
C
В синтаксисе только имеются Src.port и dst.port, но тут они не помогут ведь