$
Ну Денис и тут уже)
Лучше него за пальто никто не ответит)
Size: a a a
2019 October 08
DP
Да он демисто начнет рекламировать)))) ноу оффенс, но как иначе
$
Да он демисто начнет рекламировать)))) ноу оффенс, но как иначе
Не начнёт. Денис не такой. Критику норм кушает. Особенно конструктивную
$
Не начнёт. Денис не такой. Критику норм кушает. Особенно конструктивную
А если не начнёт - я же завтра изучу)
r
Прекрасное сравнение тёплого с мягким.
Как связано «it sec» и «siem»?
Какие «report» у вас в «siem»?
Siem у вас и для «asset menegment», а только ли она или это часть источников для «asset menegment»?
«pentest» и «siem» ( опять тёплое и круглое) как взаимосвязано?
Какими логами из «siem» нужно делиться с указанными категориями?
Что есть BOTS?
Как связано «it sec» и «siem»?
Какие «report» у вас в «siem»?
Siem у вас и для «asset menegment», а только ли она или это часть источников для «asset menegment»?
«pentest» и «siem» ( опять тёплое и круглое) как взаимосвязано?
Какими логами из «siem» нужно делиться с указанными категориями?
Что есть BOTS?
1. Да, я пользователь Splunk + Splunk ES, которая SIEM, если верить гартнеру.
2. Boss of the soc - это готовый открытый сценарий (с набором логов) для тренинга Blue Team, девиз: ... because we can't let the red teams have all the fun! ... там вроде нет привязки к вендору.
3. Поделиться с DevOps можно их логами, если Access Control адекватно настроен. Нам это очень помогло.
4. Для Asset management у нас есть свой Source of truth, но у себя в LM/SIEM мне проще искать инфу по хостам. Я смержил инфу из 2-3 источников, получилось гуд.
5. Pentest - как симуляция атаки, можно пофаниться.
6. Репорты.. какие есть + встроенные в ES, стараемся закрыть CIS Controls.
7. IT Sec - пользователи SIEM.
Я повторюсь, в условном Яндексе я не работал, в кабинетах с 100500 экранами и красивыми графиками не сидел, только из своего опыта. Эти LM/SIEM могут быть очень полезны, главное ими пользоваться.
2. Boss of the soc - это готовый открытый сценарий (с набором логов) для тренинга Blue Team, девиз: ... because we can't let the red teams have all the fun! ... там вроде нет привязки к вендору.
3. Поделиться с DevOps можно их логами, если Access Control адекватно настроен. Нам это очень помогло.
4. Для Asset management у нас есть свой Source of truth, но у себя в LM/SIEM мне проще искать инфу по хостам. Я смержил инфу из 2-3 источников, получилось гуд.
5. Pentest - как симуляция атаки, можно пофаниться.
6. Репорты.. какие есть + встроенные в ES, стараемся закрыть CIS Controls.
7. IT Sec - пользователи SIEM.
Я повторюсь, в условном Яндексе я не работал, в кабинетах с 100500 экранами и красивыми графиками не сидел, только из своего опыта. Эти LM/SIEM могут быть очень полезны, главное ими пользоваться.
AL
В соавторстве)))
Легко
$
Alexey Lukatsky
Легко
В четверг готов лично обсудить:)
$
Как нэзавысимый иксперд :)
DP
Не начнёт. Денис не такой. Критику норм кушает. Особенно конструктивную
Нууу такоое....) В общем как бы то ни было, вопросы такого рода странно задавать вендору. Если я захочу узнать о косяках mp siem - я не пойду к позитивам, я послушаю внедренцев, которые его "вот этими вот руками" (с).
Но так-то любая информация полезна, велкам
Но так-то любая информация полезна, велкам
$
Нууу такоое....) В общем как бы то ни было, вопросы такого рода странно задавать вендору. Если я захочу узнать о косяках mp siem - я не пойду к позитивам, я послушаю внедренцев, которые его "вот этими вот руками" (с).
Но так-то любая информация полезна, велкам
Но так-то любая информация полезна, велкам
Ни разу за ним не замечал необъективности. А обсуждали мы в одном чате уже многое. Максимум съедет на «это другого класса продукт»
DP
Ни разу за ним не замечал необъективности. А обсуждали мы в одном чате уже многое. Максимум съедет на «это другого класса продукт»
Ок)
r
Мое мнение: проблема в том, что у нас до фига тренигов и эвентов для Red Team (hack the box'ы, CTF'ы и т.д.). А вот для обратной стороны барикады - гораздо меньше. Одна теория.
Поэтому никто не пишет correlation rules по нескольким источникам:)
Поэтому никто не пишет correlation rules по нескольким источникам:)
AL
$
Мое мнение: проблема в том, что у нас до фига тренигов и эвентов для Red Team (hack the box'ы, CTF'ы и т.д.). А вот для обратной стороны барикады - гораздо меньше. Одна теория.
Поэтому никто не пишет correlation rules по нескольким источникам:)
Поэтому никто не пишет correlation rules по нескольким источникам:)
Нет в рф «ред тим». Ни одного. Как и понятия.
DP
Alexey Lukatsky
Только без мессаджа, что современной SOC можно построить целиком на NGFW
У ПА давно куча продуктов)) все норм, можно не так концентрированно
AL
В четверг готов лично обсудить:)
На Алтае?
r
Нет в рф «ред тим». Ни одного. Как и понятия.
ну ты понял
$
Alexey Lukatsky
Только без мессаджа, что современной SOC можно построить целиком на NGFW
Ну это же мракетирговое:)
И неужели циске ответить нечем по l7?)
И неужели циске ответить нечем по l7?)
AL
У ПА давно куча продуктов)) все норм, можно не так концентрированно
На прошлой RSAC ровно так и было 😊 При наличии кучи продуктов 😊
$
ну ты понял
Да. Пишут, только в рф это почему-то КТ. А вот тот же stix2 нормально реализовать - никто не удосужился.