МЖ
:)))
Size: a a a
2019 October 08
r
о, подъехал легкий способ сложить балайку или поймать фолсов обоих типов
ну это я за 1 минуту родил:) дай хоть потестить:))
К
как и большинство докладов этот содержит только описание идеи, и так лежащей на поверхности, описанные реализации требуют для использования охренительного допила, иначе фолсить будут весьма бодро и стремно. но хорошо демонстрируют возможности платформы - исполнить тоже самое на классическом сиеме будет существенно сложнее даже в том виде, в котором оно есть на слайдах
RI
Включил зануду - все корреляции о которых идет речь это всего лишь фильтр и агрегатор событий, по одному источнику, нескольким, по спискам, статистические, исторические и так далее. Используются самые простые фильтры, так как их проще поддерживать и отлаживать. Делать фильтры в разных консолях сзи неэффективно из за переключения контекста аналитика, да и выборки в этих консолях в глубину не сделаешь.
Лёша всё верно расписал про сложные корреляции.
r
как и большинство докладов этот содержит только описание идеи, и так лежащей на поверхности, описанные реализации требуют для использования охренительного допила, иначе фолсить будут весьма бодро и стремно. но хорошо демонстрируют возможности платформы - исполнить тоже самое на классическом сиеме будет существенно сложнее даже в том виде, в котором оно есть на слайдах
я про тоже. Там наверерху написали, что матстат и прочее - это дефолт для аналитика. А мне кажется - нет, такое в siem может сделать далеко не каждый аналитик. Вопрос навыков, опыта и образования.
К
я про тоже. Там наверерху написали, что матстат и прочее - это дефолт для аналитика. А мне кажется - нет, такое в siem может сделать далеко не каждый аналитик. Вопрос навыков, опыта и образования.
тут следует различать ограничения инструмента и ограничения человека. повторюсь, на мой взгляд, аналитик, который не может в матстат - по сути не аналитик. я же говорил относительно доклада об ограничении классических сием, как инструмента
r
Ruslan Ivanov
Лёша всё верно расписал про сложные корреляции.
Добрый день, Руслан. Мы, кстати, разобрались с Firepower. Теперь он у нас не дохнет от 150 правил:) нашли причину, по который FTD превращает 150 правил в 1 800 000
с терминов возможно ошибся, признаю.
с терминов возможно ошибся, признаю.
К
| eventstats median(y) as median, perc25(y) as Q1, perc75(y) as Q3| where y>median+1.5*(Q3-Q1) - вот это, кстати, красивый заход. просто и элегантно
К
вообще годнота почему-то в том докладе в бонусах
RI
Добрый день, Руслан. Мы, кстати, разобрались с Firepower. Теперь он у нас не дохнет от 150 правил:) нашли причину, по который FTD превращает 150 правил в 1 800 000
с терминов возможно ошибся, признаю.
с терминов возможно ошибся, признаю.
ACE explosion? Как вы умудрились его так настроить? Вообще старшие модели должны вывозить по несколько миллионов ACE, напишите мне утром в личку, посмотрим детали
r
| eventstats median(y) as median, perc25(y) as Q1, perc75(y) as Q3| where y>median+1.5*(Q3-Q1) - вот это, кстати, красивый заход. просто и элегантно
красиво, ни разу эти функции ни юзал:) и еще раз моя мысль: У нас под боком офигенные инструменты (LM, SIEM), надо только ими пользоваться и им учиться.
RI
красиво, ни разу эти функции ни юзал:) и еще раз моя мысль: У нас под боком офигенные инструменты (LM, SIEM), надо только ими пользоваться и им учиться.
Мышление людей, занимающихся рутинными операциями линейно и шаблонно, это психологи ещё в 50-х 60-х доказали.
A
Фото от Алексей
r
Ruslan Ivanov
ACE explosion? Как вы умудрились его так настроить? Вообще старшие модели должны вывозить по несколько миллионов ACE, напишите мне утром в личку, посмотрим детали
вы с Павлом очень заняты, мы разобрались, сейчас всё хорошо.
Саппорт сказал, что на нашей железке 2млн - макс.
это происходит, когда у тебя мало зон, много интерфейсов. Если в Access Policy в rule добавлять зоны - количество правил начинает расти очень сильно. Он на каждый интерфейс в зоне генерит правило.
Саппорт сказал, что на нашей железке 2млн - макс.
это происходит, когда у тебя мало зон, много интерфейсов. Если в Access Policy в rule добавлять зоны - количество правил начинает расти очень сильно. Он на каждый интерфейс в зоне генерит правило.
К
красиво, ни разу эти функции ни юзал:) и еще раз моя мысль: У нас под боком офигенные инструменты (LM, SIEM), надо только ими пользоваться и им учиться.
а вот зря - этот функционал самая мякотка spl, что и делает его куда более гибким и мощным инструментом.
насчет "офигенных инструментов" - иногда у меня появляется ощущение, что наши инструменты класса blackbox делают за нас слишком много, за счёт чего и появляются "специалисты по инструменту", а не "специалисты по обнаружению инцидентов"...
насчет "офигенных инструментов" - иногда у меня появляется ощущение, что наши инструменты класса blackbox делают за нас слишком много, за счёт чего и появляются "специалисты по инструменту", а не "специалисты по обнаружению инцидентов"...
RI
вы с Павлом очень заняты, мы разобрались, сейчас всё хорошо.
Саппорт сказал, что на нашей железке 2млн - макс.
это происходит, когда у тебя мало зон, много интерфейсов. Если в Access Policy в rule добавлять зоны - количество правил начинает расти очень сильно. Он на каждый интерфейс в зоне генерит правило.
Саппорт сказал, что на нашей железке 2млн - макс.
это происходит, когда у тебя мало зон, много интерфейсов. Если в Access Policy в rule добавлять зоны - количество правил начинает расти очень сильно. Он на каждый интерфейс в зоне генерит правило.
Ну да, это даже в документации написано, емнип, в рекомендациях по составлению access control policy
RI
а вот зря - этот функционал самая мякотка spl, что и делает его куда более гибким и мощным инструментом.
насчет "офигенных инструментов" - иногда у меня появляется ощущение, что наши инструменты класса blackbox делают за нас слишком много, за счёт чего и появляются "специалисты по инструменту", а не "специалисты по обнаружению инцидентов"...
насчет "офигенных инструментов" - иногда у меня появляется ощущение, что наши инструменты класса blackbox делают за нас слишком много, за счёт чего и появляются "специалисты по инструменту", а не "специалисты по обнаружению инцидентов"...
Справедливое замечание
RI
Ну так и рынок всё порешал - ищут не аналитиков или инженеров по ИБ, а специалистов по Arcsight или PT-SIEM (все совпадения случайны, названия продуктов вымышленные и рекламой не являются)
К
... и не находят xD
r
Ruslan Ivanov
Ну да, это даже в документации написано, емнип, в рекомендациях по составлению access control policy
Мы firepower-самоучки, саппорт молчал, советовали уменьшить количество правил:) ну щас ок, начали другие функции ковырять