МЖ
мб следующим апдейтом хоть немного подробностей про масштаб внедрения кто-нибудь раскроет? :)
Size: a a a
2019 December 23
6
Максим Жевнерев
мб следующим апдейтом хоть немного подробностей про масштаб внедрения кто-нибудь раскроет? :)
О да... Слейте нам инфу про внедрение :3
МЖ
ну хочется же понимать, за что призы дают :)
К
По итогам конкурса в целом обезличенно - напишем.
Сейчас не хотелось бы, чтобы не приславшие отчеты коллеги получили конкурентное преимущество на основе этого)
Сейчас не хотелось бы, чтобы не приславшие отчеты коллеги получили конкурентное преимущество на основе этого)
МЖ
хотя бы верхнеуровневые ТТХ
6
Максим Жевнерев
хотя бы верхнеуровневые ТТХ
Быть человеком, который выбирает какой siem толкать заказчику, не?
К
По итогам конкурса в целом обезличенно - напишем.
Сейчас не хотелось бы, чтобы не приславшие отчеты коллеги получили конкурентное преимущество на основе этого)
Сейчас не хотелось бы, чтобы не приславшие отчеты коллеги получили конкурентное преимущество на основе этого)
Вообще это была бы неплохая реклама для организации, в которой трудится победитель
К
Вообще это была бы неплохая реклама для организации, в которой трудится победитель
Организация-то написана
К
Организация-то написана
Дык чем внедрение выдающееся не написано
К
Или сообщество должно проникнуться самим фактом, что макспатрол удалось успешно внедрить?
К
Дык чем внедрение выдающееся не написано
Обязательно напишем. После подведения итогов конкурса.
٧
Всем привет. А есть какие-то причины, по которым в refguide для FreeBSD не описан конфиг auditd?
2019 December 24
RS
да. не собирает события встроенными профилями. всё согласно документации настраивал.
в целом аналогично касперскому секьюрити центр, только не работает)
даже сырых событий нет
в целом аналогично касперскому секьюрити центр, только не работает)
даже сырых событий нет
ни одним из трёх не собирает?
ИБ
День добрый. Коллеги, напомните еще раз, пожалуйста, (или ткните мордочкой в доки) чем с технической и юридической точки зрения сканер встроенныв в SIEM отличается от MP8?
RS
отличается формат приносимых данных и их структура
способ расчёта уязвимостей по данным аудита в MPX другой
сканер приносит опорные данные для алгоритмов расчёта, связывающих их с данными об условиях существования уязвимости (база знаний) и выдающих вердикт об их наличии на узле.
это позволяет, в частности, обновлять вердикты по факту обновления базы знаний без обязательного пересканирования
пентестовые проверки плюс/минус похожи в обоих продуктах
способ расчёта уязвимостей по данным аудита в MPX другой
сканер приносит опорные данные для алгоритмов расчёта, связывающих их с данными об условиях существования уязвимости (база знаний) и выдающих вердикт об их наличии на узле.
это позволяет, в частности, обновлять вердикты по факту обновления базы знаний без обязательного пересканирования
пентестовые проверки плюс/минус похожи в обоих продуктах
RS
в целом, если вы знакомы с концепцией OVAL, то это похожая идея
очень грубо можно сказать так
ptkb приносит тесты
сканер данные
а сервер/ядро выполняет тесты над данными
в деталях, понятное дело, отличий и тонкостей вагон
данные сканер приносит в определённой модели
что такое модель, проще всего понять, почитав про CIM (это жестоко, да)
наша модель на неё похожа во многом
очень грубо можно сказать так
ptkb приносит тесты
сканер данные
а сервер/ядро выполняет тесты над данными
в деталях, понятное дело, отличий и тонкостей вагон
данные сканер приносит в определённой модели
что такое модель, проще всего понять, почитав про CIM (это жестоко, да)
наша модель на неё похожа во многом
ИБ
Я правильно понимаю, что MP8:
- сканирует узлы - получает данные узлов и наполняет ими модель CIM
- В PTKB описываются тесты, по которым будут прогоняться эти данные
- серверная часть MP8, получив данные и тесты, делает проверку данных по этим тестам
- обновление PTKB по сути добавляет новые проверки и перезапускает проверки над уже собранными данными без пересканирования
В сканере SIEM проверка делается в момент сканирования узлов, поэтому нужен переодический перезапуск сканера.
В части профилей pentest проверки MP8 и SIEM приблизительно похожи? Получается в MP8 набор профилей и тестов приблизительно такой же как в SIEM?
С точки зрения сертификации - MP8 сертифицирован как сканер уязвимостей, а сканер SIEM нет?
- сканирует узлы - получает данные узлов и наполняет ими модель CIM
- В PTKB описываются тесты, по которым будут прогоняться эти данные
- серверная часть MP8, получив данные и тесты, делает проверку данных по этим тестам
- обновление PTKB по сути добавляет новые проверки и перезапускает проверки над уже собранными данными без пересканирования
В сканере SIEM проверка делается в момент сканирования узлов, поэтому нужен переодический перезапуск сканера.
В части профилей pentest проверки MP8 и SIEM приблизительно похожи? Получается в MP8 набор профилей и тестов приблизительно такой же как в SIEM?
С точки зрения сертификации - MP8 сертифицирован как сканер уязвимостей, а сканер SIEM нет?
6
Я правильно понимаю, что MP8:
- сканирует узлы - получает данные узлов и наполняет ими модель CIM
- В PTKB описываются тесты, по которым будут прогоняться эти данные
- серверная часть MP8, получив данные и тесты, делает проверку данных по этим тестам
- обновление PTKB по сути добавляет новые проверки и перезапускает проверки над уже собранными данными без пересканирования
В сканере SIEM проверка делается в момент сканирования узлов, поэтому нужен переодический перезапуск сканера.
В части профилей pentest проверки MP8 и SIEM приблизительно похожи? Получается в MP8 набор профилей и тестов приблизительно такой же как в SIEM?
С точки зрения сертификации - MP8 сертифицирован как сканер уязвимостей, а сканер SIEM нет?
- сканирует узлы - получает данные узлов и наполняет ими модель CIM
- В PTKB описываются тесты, по которым будут прогоняться эти данные
- серверная часть MP8, получив данные и тесты, делает проверку данных по этим тестам
- обновление PTKB по сути добавляет новые проверки и перезапускает проверки над уже собранными данными без пересканирования
В сканере SIEM проверка делается в момент сканирования узлов, поэтому нужен переодический перезапуск сканера.
В части профилей pentest проверки MP8 и SIEM приблизительно похожи? Получается в MP8 набор профилей и тестов приблизительно такой же как в SIEM?
С точки зрения сертификации - MP8 сертифицирован как сканер уязвимостей, а сканер SIEM нет?
У сиема процесс сбора данных об активе и рассчет по ним разделены. Теперь обновление хоть чего-то автоматом делает пересет - обновится ptkb - пересчет хоста. Новые данные об активе - пересчет хоста.
RS
Нет. Разрыв процесса сбора данных и расчёта уязвимостей - особенность MPX.
Вся первая часть вашего текста - про MPX
А периодический перезапуск сканера нужен как раз в MP8
Вся первая часть вашего текста - про MPX
А периодический перезапуск сканера нужен как раз в MP8
6
Да, сканнер сертифицирован и можно его вместо mp8 юзать
// точнее сказать такое использование декларировано
// точнее сказать такое использование декларировано