B
В тч некоторыми коннекторами
Size: a a a
2018 May 18
v
Акционер мне дал денег что бы я сделал контент, естественно мне нужно будет его продать а не сделать бесплатно
Это всего лишь значит то, что те кто зарабатывают на контенте денег, будут не шибко активными пользователями. Но у нас большая часть тех кто выполняет свою работу день от дня не получая дополнительных денег за контент, а получая по шапке за то что ничего не ловится
B
Это всего лишь значит то, что те кто зарабатывают на контенте денег, будут не шибко активными пользователями. Но у нас большая часть тех кто выполняет свою работу день от дня не получая дополнительных денег за контент, а получая по шапке за то что ничего не ловится
Проблема в том, что качественный контент делается на основе методологического фундамента. А что бы его сделать нужна подготовка, а это время то бишь деньги + nda, мы же безопасность и чем больше у компании денег на безопасность и методологию тем толще nda обычно
v
Проблема в том, что качественный контент делается на основе методологического фундамента. А что бы его сделать нужна подготовка, а это время то бишь деньги + nda, мы же безопасность и чем больше у компании денег на безопасность и методологию тем толще nda обычно
Понимаю. Согласен.
B
К hive кстати, хорошо прикручивается misp
V
очень хорошо...
V
особенно export из hive в misp
v
Но! Вдруг все-таки хотя бы тут народ наставит плюсы и скажет что он готов посильно помочь. Вдруг надежда ещё есть :)
B
Misp вообще удобнейшая штука, можно через api делать счётчики и показывать, к примеру, мнение ti фидов по каждому процессу
B
Прямо в консоли для аналитиков:)
NK
А вот кто нибудь сравнивал клиентов для сбора логов с хостов опенсорс?
NK
Есть ossec агент есть nxlog выше littlebeat показали
OQ
Да берите либо splunk forwarder, либо filebeat, я отдаю предпочтение fluentd. Fluentd на тестах проводимых года полтора ранее удовлетворял меня по всем пунктам
NK
Ossec например тоже пробовал. Однако с самощащитой у него плохо . Процесс легко убивается и логи не передаются.
B
ID:568590497
А вот кто нибудь сравнивал клиентов для сбора логов с хостов опенсорс?
Мы сравнивали, щас вообще смотрим в сторону osquery от facebook
B
Вообще никакого единого агента нет в природе (для винды). По факту нужно ставить нечто для сбора логов, нечто для расширения аудита винды (sysmon), агент для управления конфигурациями (свой сервис) и агент для поиска ioc (osquery). Если все правильно отдладить и настроить то начиная с win8 особых конфликтов нет (без osquery с win7), а загрузка процессора в среднем до 5 процентов
NK
Мы сравнивали, щас вообще смотрим в сторону osquery от facebook
кратко если какие основные фичи посчитали интересными ?
B
ID:568590497
кратко если какие основные фичи посчитали интересными ?
Я уже не помню @ilmarh ты помнишь?
B
Или это еще в ACRC 1.0 делали до изменения архитектуры с siem-centric на data-centric?