В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

SOС Технологии

1108 membersпожаловаться на группу
2019 October 25

VG

Viktor Gordeev in SOС Технологии
Ruslan Ivanov
Ну раз сегодня пятница, и все забились по норам и молчат, предложу я тему для пятничного холивара. Тема: Нужно ли тащить в SOC все логи, кто должен решать по полноте и достаточности и доколе хранить?
Еще как вариант тащить все логи в логгер, а уже что необходимо для корреляции отправлять в SIEM
источник
09:07пожаловаться#1

A

Aleksandr in SOС Технологии
Можно расширить вопрос, добавив сюда raw логи. Недавно пришли к выводу в группе по QRadar, что требуется только собирать конкретные поля. Если что-то собирается централизованно, то для суда вообще что-то типа fips потребуется. А в остальном по формату и объему raw - красота в глазах смотрящего и тоже поле для дебатов.
источник
09:17пожаловаться#2

A

Aleksandr in SOС Технологии
Особенно в части сбора событий из БД
источник
09:44пожаловаться#3

A

Aleksandr in SOС Технологии
Или кастомизируемого по количеству полей сислога, который надо еще в tcp пропихнуть
источник
09:45пожаловаться#4

VG

Viktor Gordeev in SOС Технологии
А у кого-нибудь были кейсы, когда логи с SIEM фигурировали в суде?
источник
09:48пожаловаться#5

12

1 2 in SOС Технологии
Немного утопии, но вообще конечно, собирать стоит всЁ и ограничиваться только вместимостью железа по хранению данных. И хранить по времени столько, сколько позволяет железо. А дальше уже по достаточным данным писать корреляции. Если говорить, о том что мы внедряем с нуля и без базы знаний, то проанализировав данные в хранилке мы поймем какие корреляции по этим данным мы можем написать. Будет большим плюсом если есть база знаний, особенно соотнесенная по типом сурса. Тогда проще.
Конечно, наверно уже пора пилить некий стандарт соурсов и правил корреляций под них)
источник
09:56пожаловаться#6

DG

Denis Gorchakov in SOС Технологии
Ага, а бюджет задаётся через ArtMoney
источник
10:05пожаловаться#7

DG

Denis Gorchakov in SOС Технологии
А нет, player.additem 0000000F 10000000
источник
10:05пожаловаться#8

МЖ

Максим Жевнерев in SOС Технологии
где-то выше был хороший ответ. Если бюджет + работоспособность siem\lm позволяют - собираем все, до чего дотянемся. Если нет - выбираем нужное и фильтруем лишнее.
источник
10:20пожаловаться#9

V

Vladislav in SOС Технологии
Denis Gorchakov
Ага, а бюджет задаётся через ArtMoney
Кстати там же можно фиксировать сумму ,правда не во всех играх проканывало
источник
10:28пожаловаться#10

A

Alexey in SOС Технологии
Viktor Gordeev
Кстате да. Exchange PowerShell и пошел выгружать почту топов
А просто мониторить powershell etc, религия не позволяет? Для всего остального есть специализированные инструменты
источник
10:45пожаловаться#11

RI

Ruslan Ivanov in SOС Технологии
Максим Жевнерев
где-то выше был хороший ответ. Если бюджет + работоспособность siem\lm позволяют - собираем все, до чего дотянемся. Если нет - выбираем нужное и фильтруем лишнее.
Чтобы зачем и что собираем всё? Потому что можем?
источник
11:10пожаловаться#12

y

yugoslavskiy in SOС Технологии
Максим Жевнерев
где-то выше был хороший ответ. Если бюджет + работоспособность siem\lm позволяют - собираем все, до чего дотянемся. Если нет - выбираем нужное и фильтруем лишнее.
а можете подробнее отписать что именно подразумевается под «всем»?
источник
11:12пожаловаться#13

RS

Roman Sergeev in SOС Технологии
yugoslavskiy
а можете подробнее отписать что именно подразумевается под «всем»?
Вот это отличный вопрос.
источник
11:16пожаловаться#14

VG

Viktor Gordeev in SOС Технологии
Alexey
А просто мониторить powershell etc, религия не позволяет? Для всего остального есть специализированные инструменты
Чтобы не собирать запросы ps со всех хостов, разумнее включить логирование exchange ps
источник
11:24пожаловаться#15

М

Мухит in SOС Технологии
Viktor Gordeev
Чтобы не собирать запросы ps со всех хостов, разумнее включить логирование exchange ps
а почему бы не собирать со всех хостов? )
источник
11:26пожаловаться#16

М

Мухит in SOС Технологии
злоумышленник сначала на хост попадет
источник
11:27пожаловаться#17

М

Мухит in SOС Технологии
тем более пс мало кто пользуется даже среди админов
источник
11:27пожаловаться#18

VG

Viktor Gordeev in SOС Технологии
Мухит
тем более пс мало кто пользуется даже среди админов
Да тут кейс именно админов отслеживать которые делают запросы ps в exchange
источник
11:28пожаловаться#19

VG

Viktor Gordeev in SOС Технологии
Для этого вам надо включить ауди  ps exchange и собирать детальную информаци
источник
11:28пожаловаться#20