PK
SOC-форум это не вендорский евент
Size: a a a
2019 October 23
Z
4. 3/4 коммерческих SOCов неспособны мониторить даже себя! Куда они лезут со своими услугами?
Z
какой классный вопрос
Z
прям мммм
AL
Отож
P
Можно как-то настроить сурикату чтобы если правило не может прочитать, то кидать его в отдельный файл? А то нужно разобраться с парой сотен правил, а из лога дёргать регуляркой такое себе
2019 October 24
A
Ого-го!
Лаборатория Касперского анонсировала бесплатный доступ к своему Threat Intelligence Portal для всех желающих!
https://opentip.kaspersky.com/
Первая моя ассоциация была примерно такой: Ого, появился русский аналог VirusTotal! Но в блоге, посвященном анонсу, ребята из ЛК это опровергают и выделяют следующие причины: их продукт использует больше технологий обнаружения, чем это делает зарубежный аналог, весь анализ проводится собственными средствами и технологиями, без привлечения внешних систем, а результаты анализа не доступны широкому кругу подписчиков, как это сделано на VirusTotal.
Хотя платная подписка для получения той самой Threat Intelligence все же присутствует :)
Бложик: https://eugene.kaspersky.com/2019/10/24/open-tip/
Лаборатория Касперского анонсировала бесплатный доступ к своему Threat Intelligence Portal для всех желающих!
https://opentip.kaspersky.com/
Первая моя ассоциация была примерно такой: Ого, появился русский аналог VirusTotal! Но в блоге, посвященном анонсу, ребята из ЛК это опровергают и выделяют следующие причины: их продукт использует больше технологий обнаружения, чем это делает зарубежный аналог, весь анализ проводится собственными средствами и технологиями, без привлечения внешних систем, а результаты анализа не доступны широкому кругу подписчиков, как это сделано на VirusTotal.
Хотя платная подписка для получения той самой Threat Intelligence все же присутствует :)
Бложик: https://eugene.kaspersky.com/2019/10/24/open-tip/
٧
так там все интересное за пейволом
Z
так там все интересное за пейволом
замануха)
Д
Платная лучше
Z
Платная лучше
Очень дорого
Д
Очень дорого
У вас просто бюджет маленький
Z
У вас просто бюджет маленький
😃да да
Д
будем наблюдать за новыми письмами)
кароч
Д
суть была в разведке IP пространства
Д
определяли ip адреса таргетов, с целью обхода облачных песочниц, ВПО будет загружаться если обращение будет с целевого диапазона адресного пространства
Z
суть была в разведке IP пространства
Согласен:)
2019 October 25
RI
Зачем тебе SIEM?
В целом:
1. Знать свою инфраструктуру
2. Систематизировать и упорядочить происходящее внутри организации
3. Оперативно выявлять инциденты
4. Выявлять старые инциденты на основе новых данных
5. Расследовать инциденты
6. Делать всё вышеперечисленное с минимальными трудозатратами
7. Дополнительно (при условии успешности пункта #6).. Дублировать некоторые функции других СЗИ (пересекающиеся с пунктами #1-#5).
В частности, (на примерах):
1. Получать ответы на вопросы о текущем состоянии инфраструктуры (например: что за узлы у меня в DMZ, какие службы запущены на серверах с IIS, и др.).
2. Видеть происходящее в инфраструктуре в понятном \ удобном виде (обогащение, контекст узлов\учеток, конечно же нормализация, агрегация событий\инцидентов)
3. Возможность давать быстрые ответы на простые вопросы, касаемо, как состояния инфраструктуры, так и того что в ней произошло. (сколько узлов с запущенным сервисов Х, сколько винды на периметре, когда и кто создал учетку Х, когда резолвился и во что домен Х, кто логинился на ip X, Когда и где был файл X с md5 Y, Кто удалил файл Х в папке Y на сервере Z)
4. При срабатывании корреляции видеть контекст и давать возможность докинуть сюда же дополнительную информацию
5. Максимально «коробочно» выявлять типовые проблемы\инциденты инфраструктуры, и в то же время иметь простейший инструмент по работе с исключениями и фолсами.
6. Чтоб система хранила всё и по этому всему можно было делать любой сложности аналитику. Например ретроспективно искать новые паттерны.
7. Иметь систему способную из коробки собрать всё самое необходимое и нужное с большей части инфраструктуры (без писания скриптов на питоне и других больших трудозатрат). И с другой стороны при подключение новых узлов (обычных\типовых) не переписывать уже настроенные детекты.
8. Архитектурно поддержать «большие» объёмы. (другими словами не думать, что оно опять не прожует сейчас или отбросит по лицензии).
9. Иметь возможность впихнуть любые данные в систему и любые из неё вытащить (API и всё что с этим связано)
В целом:
1. Знать свою инфраструктуру
2. Систематизировать и упорядочить происходящее внутри организации
3. Оперативно выявлять инциденты
4. Выявлять старые инциденты на основе новых данных
5. Расследовать инциденты
6. Делать всё вышеперечисленное с минимальными трудозатратами
7. Дополнительно (при условии успешности пункта #6).. Дублировать некоторые функции других СЗИ (пересекающиеся с пунктами #1-#5).
В частности, (на примерах):
1. Получать ответы на вопросы о текущем состоянии инфраструктуры (например: что за узлы у меня в DMZ, какие службы запущены на серверах с IIS, и др.).
2. Видеть происходящее в инфраструктуре в понятном \ удобном виде (обогащение, контекст узлов\учеток, конечно же нормализация, агрегация событий\инцидентов)
3. Возможность давать быстрые ответы на простые вопросы, касаемо, как состояния инфраструктуры, так и того что в ней произошло. (сколько узлов с запущенным сервисов Х, сколько винды на периметре, когда и кто создал учетку Х, когда резолвился и во что домен Х, кто логинился на ip X, Когда и где был файл X с md5 Y, Кто удалил файл Х в папке Y на сервере Z)
4. При срабатывании корреляции видеть контекст и давать возможность докинуть сюда же дополнительную информацию
5. Максимально «коробочно» выявлять типовые проблемы\инциденты инфраструктуры, и в то же время иметь простейший инструмент по работе с исключениями и фолсами.
6. Чтоб система хранила всё и по этому всему можно было делать любой сложности аналитику. Например ретроспективно искать новые паттерны.
7. Иметь систему способную из коробки собрать всё самое необходимое и нужное с большей части инфраструктуры (без писания скриптов на питоне и других больших трудозатрат). И с другой стороны при подключение новых узлов (обычных\типовых) не переписывать уже настроенные детекты.
8. Архитектурно поддержать «большие» объёмы. (другими словами не думать, что оно опять не прожует сейчас или отбросит по лицензии).
9. Иметь возможность впихнуть любые данные в систему и любые из неё вытащить (API и всё что с этим связано)
Ну раз сегодня пятница, и все забились по норам и молчат, предложу я тему для пятничного холивара. Тема: Нужно ли тащить в SOC все логи, кто должен решать по полноте и достаточности и доколе хранить?
BB
Ruslan Ivanov
Ну раз сегодня пятница, и все забились по норам и молчат, предложу я тему для пятничного холивара. Тема: Нужно ли тащить в SOC все логи, кто должен решать по полноте и достаточности и доколе хранить?
Нижняя планка "доколе" в некоторых случаях известна, верхняя вот хз 😁
RI
По ТЗ ты хотел сказать, Дим?