RI
Size: a a a
2019 October 25
DG
Ruslan Ivanov
Ну раз сегодня пятница, и все забились по норам и молчат, предложу я тему для пятничного холивара. Тема: Нужно ли тащить в SOC все логи, кто должен решать по полноте и достаточности и доколе хранить?
а цель-то какую приследуем? если для разбора инцидентов, тогда, видимо, да. а если для корреляций, то наверно имеет смысл исходить из того что хотим поймать
BB
Ruslan Ivanov
По ТЗ ты хотел сказать, Дим?
Не ) именно хз, холиварить надо. В тз то я что угодно написать могу, а обосновать - это другое
RI
Ну ок, «хотим поймать всё» (краткое изложение конкурсной документации, к примеру)
VG
а цель-то какую приследуем? если для разбора инцидентов, тогда, видимо, да. а если для корреляций, то наверно имеет смысл исходить из того что хотим поймать
Спорный вопрос. Вся корреляция ограничивается знаниями специалиста SIEM.
Вдруг он родит новое правило, а событий под правило нет)
Вдруг он родит новое правило, а событий под правило нет)
М
Ruslan Ivanov
Ну раз сегодня пятница, и все забились по норам и молчат, предложу я тему для пятничного холивара. Тема: Нужно ли тащить в SOC все логи, кто должен решать по полноте и достаточности и доколе хранить?
если позволяет бюджет тащить все, то почему бы и нет? )
DP
Если не уверен - собирай все.
Если четко знаешь все кейсы (хахаха) - собирай нужное.
Если четко знаешь все кейсы (хахаха) - собирай нужное.
RI
если позволяет бюджет тащить все, то почему бы и нет? )
Не позволяет, конечно же
BB
Я могу верхнюю планку поставить 4 года хранения raw событий, а на вопрос "почему" - сказать - а у меня! Был! Кейс, когда пришлось на глубину четырехлетней давности копать
DG
Не, ну мы вот честно выкинули логи Exchange например.
Потому что если не отлажена работа по логам с сетевых устройств и AD, нахер почту сюда привязывать, ещё и когда события мониторятся едва-едва
Потому что если не отлажена работа по логам с сетевых устройств и AD, нахер почту сюда привязывать, ещё и когда события мониторятся едва-едва
М
Не, ну мы вот честно выкинули логи Exchange например.
Потому что если не отлажена работа по логам с сетевых устройств и AD, нахер почту сюда привязывать, ещё и когда события мониторятся едва-едва
Потому что если не отлажена работа по логам с сетевых устройств и AD, нахер почту сюда привязывать, ещё и когда события мониторятся едва-едва
а то что админ экченджа доступ к почтовым ящикам рисует ничего страшного? )
DG
Спорный вопрос. Вся корреляция ограничивается знаниями специалиста SIEM.
Вдруг он родит новое правило, а событий под правило нет)
Вдруг он родит новое правило, а событий под правило нет)
я сторонник того что без конерктной цели ничего хорошего не получится, просто потеря времени “потому что надо\можем\а вдруг”, а так если делать нечего и идеи кончились то конечно, но имхо это путь в никуда)
VG
а то что админ экченджа доступ к почтовым ящикам рисует ничего страшного? )
Кстате да. Exchange PowerShell и пошел выгружать почту топов
DG
а то что админ экченджа доступ к почтовым ящикам рисует ничего страшного? )
А это в SIEM не логировалось
DG
Если бы логировалось, я бы сказал оставить))
М
А это в SIEM не логировалось
а что мешало настроить? )
DG
а что мешало настроить? )
SIEM 😅
$
Я могу верхнюю планку поставить 4 года хранения raw событий, а на вопрос "почему" - сказать - а у меня! Был! Кейс, когда пришлось на глубину четырехлетней давности копать
Затраты посчитай на своё «был»
DG
И опять же, SIEM – это тупой инструмент для аудита Exchange. Например, токенизация новых устройств довольно херово логируется, а уж чистка списка тем более, это правильнее делать профильным инструментом