IH
Size: a a a
2018 May 18
2018 May 19
NK
NK
UseCase для идей что мониторить :)
NK
Хотя по-прежнему сомнительно нацеливание на узкие вещи типа wannacry
IH
Почему же, как некая разовая деятельность вполне нормально. Профилактический осмотр так сказать.
VG
ID:568590497
UseCase для идей что мониторить :)
VG
Там 250 кейсов под Arcsight
NK
Почему же, как некая разовая деятельность вполне нормально. Профилактический осмотр так сказать.
Если самому руками писать, то зачем тратить время, если есть AV. Хотя если готовое, как по ссылкам выше, то почему бы и нет. Пусть будет )
IH
Я про нацеливание на узкие вещи. Не даром же всякий едр появился. Антивирусы давно проиграли битву, теперь поведенческий анализ пытается что-то увидеть. Вопрос лишь можно ли заставить машину работать аналитиком за еду
NK
Я например про поиск файлов по названиям типа windows/wanna.sys , таких правил много.
NK
Зачем они нужны если завтра появится wanna1.sys
NK
Пусть AV этим занимается у них огромные штаты пилят сигнатуры .
NK
Ну или ET и таллос если. сеть
IH
Стандартные артефакты иок. Вопрос лишь в их устаревании для конкретной инфраструктуры
B
ID:568590497
UseCase для идей что мониторить :)
Да понятно что мониторить, просто это гигантский труд - сделать столько правил и отчётов что бы покрыть системы и форматы логов. Все равно все сводится к базе - бруты, фишинг эксплойты и тп, что давным давно SANS описал. Но итоговая комбинаторика безумная, надо ведь иметь несколько событий из килл чейна что бы ответственно сказать - это возможно инцидент, давай те проверим
B
ID:568590497
Зачем они нужны если завтра появится wanna1.sys
Что бы снизить ущерб сегодня, завтра вообще улучшим патч менеджмент к примеру. Как борьба с чрезвычайнымт ситуациями - завтра же будет новая;)
NK
Что бы снизить ущерб сегодня, завтра вообще улучшим патч менеджмент к примеру. Как борьба с чрезвычайнымт ситуациями - завтра же будет новая;)
Так лучше привязываться к поведению и признакам , чем конкретным именам и адресам . Например доступ некоего ПО к lsass, это признак . Не важно мимик это или 123.exe.
NK
B
ID:568590497
Так лучше привязываться к поведению и признакам , чем конкретным именам и адресам . Например доступ некоего ПО к lsass, это признак . Не важно мимик это или 123.exe.
в мониторинге и поиске нового - 100%
NK
И то сначала проверить, может ваш антивирус уже ловит те же инжекты к lsass)