NK
2 админа 2 аналитика - минимальная устойчивая структура . один заболел или в отпуск, второй подстрахует.
Size: a a a
2018 May 18
NK
Определяем критичность и реагирование на этапе создания правила. Есть алерты и кейсы. В алерты обычно улетают сработки, пока правила тестируются, либо события, который часто происходят и вероятность вредоносности там небольшая. В кейсах 3 уровня критичности в зависимости от системы и сработавшего правила.
У вас в сием все все сведено ? Выдача антивируса журналы ОС и тд?
MC
Да, сием ядро всего
MC
Хайв для более удобного реагирования
NK
С журналов ОС если не секрет что тянете ? Понятно бруты, что то ещё?
NK
Можно в личку ))
MC
Докладчики, зажавшие кореляции, могли бы упомянуть хотя бы про это))
MC
Ну и это туда же https://attack.mitre.org/wiki/Main_Page
NK
Понятно что чем больше писать в базу тем можно больше информации черпать при расследовании инцидента.
NK
Но тут упирается в производительность самой базы и сети.
NK
Так что приходиться выбирать )
v
Докладчики, зажавшие кореляции, могли бы упомянуть хотя бы про это))
Ну так я говорил глянуть ту же презу солара с сок форума. https://soc-forum.ib-bank.ru/files/files/2017/08_03_Zhevnerev.pdf
v
Мне солар должен за пиар доплачивать!
v
А своим собственным контентом никто так и не поделился. В то время как меня все больше подталкивает на мысль что мы доросли до какого-то комьюнити где соберётся достаточно много активных спецов чтоб оно не заглохло.
B
ID:568590497
А thehive progect кто то юзал в соке для бедных?)
Мы пользуем, ток у нас не для бедных. Бедным на ИБ пофиг, не то что на ее продвинутую инкарнацию в виде SOC
B
Грины ещё пользуют
B
А своим собственным контентом никто так и не поделился. В то время как меня все больше подталкивает на мысль что мы доросли до какого-то комьюнити где соберётся достаточно много активных спецов чтоб оно не заглохло.
Акционер мне дал денег что бы я сделал контент, естественно мне нужно будет его продать а не сделать бесплатно
B
Но есть бесплатная обрезанная система лог менеджмент на основе еластика с нашими доработками