A
LM часто стоит куда дешевле SIEM
Size: a a a
2019 October 08
A
Да и требования к предобработке событий могут быть другие
М
В Д
Так. Наверное режим бояна сейчас включу. Но вброшу следующий вопрос: а нужна ли вообще вам, друзья, корреляция в сок? Объясню свой вопрос. Много общаюсь с коллегами по цеху, в том числе в разрезе use case. И чем дальше тем больше вижу, что в среднем по больнице все инциденты которые запускают каждый из заказчиков в siem, работают каждый на своём источнике. Микрокорреляция событий антивируса, сборка событий WAF воедино, склеивание событий от контроллера домена. При этом сами источники, приобретая NG - окрас, сами умеют делать такую корреляцию на борту. В итоге на мой взгляд в среднем почти все реально не используют возможности корреляции.
А как дела обстоят у вас: сколько или какой процент сценариев использует сложную корреляцию с одного источника? А сколько прямо с нескольких?
А как дела обстоят у вас: сколько или какой процент сценариев использует сложную корреляцию с одного источника? А сколько прямо с нескольких?
вопрос в том что нужна фантазия что бы придумывать эти правила ), а большинство пользователей SIEM удовлетворяются тем что им поставили
A
правила часто придумываются по факту расследования, дляисторичской корреляции или будущих инцидентов, а не установите мне siem и к нему 50 правил на первый годик
Z
правила часто придумываются по факту расследования, дляисторичской корреляции или будущих инцидентов, а не установите мне siem и к нему 50 правил на первый годик
😀по моему написание правил это бесконечный процесс...
A
так точно,новыйинцидент, новое правило или хоть 10, чтобы раньше их отлавливать
A
изначально все равно модель нарушителяв наложении на инфру и пошли тритхантить
Z
так точно,новыйинцидент, новое правило или хоть 10, чтобы раньше их отлавливать
дело не в инцидентах даже, берешь атаку и пишешь под неё кореляцию
A
можно бестпрактис конечно какой-то заюзать, типа митре
A
но не факт,что он вообще к вам применим или входит в топ 10 ваших дырок
ВД
так точно,новыйинцидент, новое правило или хоть 10, чтобы раньше их отлавливать
Lesson learned. Очень правильный кусок подхода к контенту. Но лучше конечно учиться на чужих ошибках и использовать информацию о векторах атаки из разных TI источников
М
можно бестпрактис конечно какой-то заюзать, типа митре
что бы покрыть митре, нужно основательно посидеть за сием, чаще в организациях не могут просто выделить человека который бы мониторил события
A
Да, но проблема в количестве людей в команде. Заведешь 300 правил по бестпрактис, а кто все разгребать будет - не понятно
A
У нас у одного заказчика на затюненых правилах из коробки порядка 20000 инцидентов и уже понятно, что их можнопросто удалятьпо шедулеру
Z
что бы покрыть митре, нужно основательно посидеть за сием, чаще в организациях не могут просто выделить человека который бы мониторил события
😀при том что митре не панацея, правила должны быть кастомными под каждую инфраструктуру и бизнесс процессы
A
тюнить глубже пока никто негоритжеланием
A
используется в основном LM и отчетность
A
а джо остального нет человекочасов дотянуться
A
третий год так
Z
🤦♂️