Z
ну мы занимаемся тем что детектим то что противозаконно
Size: a a a
2019 December 13
DP
Sergey
400 правил?! Разве такое возможно? Я логических правил могу от силы пяток придумать, а заскриптовать это пока беда. С такой фантазией вам надо сео тексты писать)
Дофига, но возможно. Даже если тупо по фреймворку митры сидеть изобретать.
Были бы источники и события)
Были бы источники и события)
k
слизать.. снять..кейлогеры и тд длп - если сетевой. если отдельно стоящий - зачем вообще его узнавать. вопрос - зачем нужно знать пароль если просто нужна инфа на этой машине?
S
Считаю, что ваш сборник кастомных правил должен стать достоянием общественности!) Хотя бы в этом чате)))
Z
2 из двух
Z
Sergey
Считаю, что ваш сборник кастомных правил должен стать достоянием общественности!) Хотя бы в этом чате)))
он для вас бесполезен
Z
то что у меня работает на постоянке это все мое и написано для моей реализации инфраструктуры
Z
и да это стоит очень много денег)))
Z
CITTO_SIEM_detect_ssh_bruteforce - вот например правило которое детектит массовые коннекты по порту 22 на основе сетевых событий
Z
разве оно не нужно? нужно
Z
тоже самое по smb
Z
можно все обьеденить в одно. Mysql,mssql,smb,ssh и т.д.
Z
я одним правилом с детектом массовых smb коннектов выловил малвари штук 50 точно
Z
сканирование портов, два субправила.детект сканирования 1 порта по инфраструктуре или детект сканирования нескольких портов по инфраструктуре/одному айпишнику
Z
нужно? нужно
Z
детект запусков в повершелле всякой криптованной херни, нужен? конечно да
Z
загрузки файлов через повершелл и т.д. бесконечный список
Z
а вы говорите 5)
Z
если отталкиваться от мысли что сзи это дно и тлен (а так и есть на самом деле), то вас спасут только самостоятельные детекты всего и всех