MC
Да
Size: a a a
2018 May 18
MC
Хайв, кортекс, мисп
NK
Сколько старт занял ?
MC
Да оно все махом ставится и настраивается. Можно за день для теста поднять. Если просто пощупать, на сайте проекта где-то можно виртуалку предустановленную найти
MC
Основное - скрипт написать, чтобы инциденты подтягивать откуда-то.
NK
А это не вы с докладом были гринатом ?)
MC
Но там удобное апи для питона есть
MC
Неа
MC
Мы вопросы задавали)
NK
Как функции в иб распределяются у вас по людям? Кодеры есть выделенные скрипты писать и тд?
NK
Или и Швец и жнец )
MC
Пара человек только на анализ сработок и аналитику правил. Пара на скрипты, настройку подсистем и т.п.
NK
Нормально
NK
Тот же чел из гринатома сказал типа зачем ждать финансирования на пром решения, пилим сами.
NK
Только вот финансирования на штат тоже иногда не дают )
NK
Пара человек только на анализ сработок и аналитику правил. Пара на скрипты, настройку подсистем и т.п.
Инфраструктура большая ?
MC
Имхо, симбиоз опенсорса и пром решений самое то, имхо. Инфраструтура большая.
NK
Инциденты как-то ранжируете?
L
ID:568590497
Только вот финансирования на штат тоже иногда не дают )
Ключевая проблема
MC
Определяем критичность и реагирование на этапе создания правила. Есть алерты и кейсы. В алерты обычно улетают сработки, пока правила тестируются, либо события, который часто происходят и вероятность вредоносности там небольшая. В кейсах 3 уровня критичности в зависимости от системы и сработавшего правила.