Z
тот случай когда даже сисмон уже не сапортит хр))
SOC — это люди: курсы переподготовки джедаев / Хабр
https://habr.com/company/solarsecurity/blog/412521/
Size: a a a
2018 May 24
2018 May 30
2018 June 02
NK
Graylog кто-нибуть юзает? Есть вопрос )
NK
ID:568590497
Graylog кто-нибуть юзает? Есть вопрос )
Смотря какой? И отчего не версию 2
2018 June 03
NK
Тема такая, что решил присмотреться к текущим решениям лог-сием и прочих менеджеров, на замену самописной системе. Но хочется чтоб было совместимо с sigma. Раскрутил сейчас graylog, однако удобного механизма вкачивать правила sigma пока не вижу.
Вообще правила сделать можно (например через сохраняемый запрос на дашборде). Однако это будет куча отдельных отчетиков в интерфейсе по каждому правилу. А нужно чтоб все в куче было, в одном месте. Типа sysmon-alerts.
Вообще правила сделать можно (например через сохраняемый запрос на дашборде). Однако это будет куча отдельных отчетиков в интерфейсе по каждому правилу. А нужно чтоб все в куче было, в одном месте. Типа sysmon-alerts.
y
sigma ограничена оч простыми запросами, ничего time-based / chained с ней не сделаешь.
если вам ничего такого не надо, то присмотритесь к ELK, к Kibana query есть экспорт.
но все равно придется колдовать
если вам ничего такого не надо, то присмотритесь к ELK, к Kibana query есть экспорт.
но все равно придется колдовать
NK
sigma ограничена оч простыми запросами, ничего time-based / chained с ней не сделаешь.
если вам ничего такого не надо, то присмотритесь к ELK, к Kibana query есть экспорт.
но все равно придется колдовать
если вам ничего такого не надо, то присмотритесь к ELK, к Kibana query есть экспорт.
но все равно придется колдовать
ELK это следующий кандидат. Надо грубо говоря что был список куда добавлять правила. Сырой лог сисмона прогонялся по всем правилам. А результат падал в один общий поток sigma-alerts . Открывает браузер, щелкаешь по ссылке и видишь все сработки по правилам.
В ELK так можно наколдовать?
В ELK так можно наколдовать?
y
> Надо грубо говоря что был список куда добавлять правила.
это может быть Logstash конфиг, но в него нет импортов из sigma
> А результат падал в один общий поток sigma-alerts .
что вы подразумеваете под общим потоком sigma-alerts? типо очередь/список алертов?
> Открывает браузер, щелкаешь по ссылке и видишь все сработки по правилам.
в ELK без X-pack можно Logstash-ем тегать необходимые события, затем в Kibana рисовать дашборды с графиками и (или) очередями/списками алертов
это может быть Logstash конфиг, но в него нет импортов из sigma
> А результат падал в один общий поток sigma-alerts .
что вы подразумеваете под общим потоком sigma-alerts? типо очередь/список алертов?
> Открывает браузер, щелкаешь по ссылке и видишь все сработки по правилам.
в ELK без X-pack можно Logstash-ем тегать необходимые события, затем в Kibana рисовать дашборды с графиками и (или) очередями/списками алертов
NK
> что вы подразумеваете под общим потоком sigma-alerts? типо очередь/список алертов?
Типа такого
https://severalnines.com/sites/default/files/blog/node_4648/image06.png
Только тут сырой лог с серверов. А нужно после прогона через список правил. Открыл, посмотрел что там подозрительного нападало. Раскрыл каждое сообщение для подробностей.
Типа такого
https://severalnines.com/sites/default/files/blog/node_4648/image06.png
Только тут сырой лог с серверов. А нужно после прогона через список правил. Открыл, посмотрел что там подозрительного нападало. Раскрыл каждое сообщение для подробностей.
NK
>это может быть Logstash конфиг, но в него нет импортов из sigma.
У сигмы есть некий конвертер правил в язык запросов ELK. Есть и graylog.
https://mobile.twitter.com/cyb3rops/status/997493088229691393
Пока пытаюсь в грайлоге понять куда прикрутить этот конверт. Понятно что вручную можно вбивать эти запросы в поиск по сырым логам. Но это не то.
У сигмы есть некий конвертер правил в язык запросов ELK. Есть и graylog.
https://mobile.twitter.com/cyb3rops/status/997493088229691393
Пока пытаюсь в грайлоге понять куда прикрутить этот конверт. Понятно что вручную можно вбивать эти запросы в поиск по сырым логам. Но это не то.
NK
ID:568590497
Тема такая, что решил присмотреться к текущим решениям лог-сием и прочих менеджеров, на замену самописной системе. Но хочется чтоб было совместимо с sigma. Раскрутил сейчас graylog, однако удобного механизма вкачивать правила sigma пока не вижу.
Вообще правила сделать можно (например через сохраняемый запрос на дашборде). Однако это будет куча отдельных отчетиков в интерфейсе по каждому правилу. А нужно чтоб все в куче было, в одном месте. Типа sysmon-alerts.
Вообще правила сделать можно (например через сохраняемый запрос на дашборде). Однако это будет куча отдельных отчетиков в интерфейсе по каждому правилу. А нужно чтоб все в куче было, в одном месте. Типа sysmon-alerts.
Я думаю, до конца недели сделаю такую хрень для ELK. Если Ангара возражать не будет, расскажу как. А если будет - не расскажу. Но это не космические технологии.
NK
ID:339250091
Я думаю, до конца недели сделаю такую хрень для ELK. Если Ангара возражать не будет, расскажу как. А если будет - не расскажу. Но это не космические технологии.
Спасибо. Ждём новостей в блоге )
y
>> это может быть Logstash конфиг, но в него нет импортов из sigma.
> У сигмы есть некий конвертер правил в язык запросов ELK
нет такого понятия как "язык запросов ELK".
у сигмы есть конвертациия в запросы Kibana, ElasticSearch Query DSL, Elastic X-Pack Watcher, но нет в Logstash конфиг
> Если Ангара возражать не будет, расскажу как. А если будет - не расскажу.
А в чем проблема с Ангарой? @bdr777
> Но это не космические технологии.
Недавно статья на хабре была про сравнение Splunk и ELK. там в комментах кто-то всерьез говорил что спецы по ИБ которые умеют ELK — единороги. никто особо возражать не стал %)
> У сигмы есть некий конвертер правил в язык запросов ELK
нет такого понятия как "язык запросов ELK".
у сигмы есть конвертациия в запросы Kibana, ElasticSearch Query DSL, Elastic X-Pack Watcher, но нет в Logstash конфиг
> Если Ангара возражать не будет, расскажу как. А если будет - не расскажу.
А в чем проблема с Ангарой? @bdr777
> Но это не космические технологии.
Недавно статья на хабре была про сравнение Splunk и ELK. там в комментах кто-то всерьез говорил что спецы по ИБ которые умеют ELK — единороги. никто особо возражать не стал %)
NK
Изучаю тут кстати презу росатома, смотрю как дашборды компоноют. Не понимаю что даёт вот такая например отчётность аналитику. Срубили 10 тыс спама и...?
Такие вещи если только раз в год руководству тащить, показывать значимость, но не как оперативный инструмент. )
Такие вещи если только раз в год руководству тащить, показывать значимость, но не как оперативный инструмент. )
NK
Z
ID:568590497
Изучаю тут кстати презу росатома, смотрю как дашборды компоноют. Не понимаю что даёт вот такая например отчётность аналитику. Срубили 10 тыс спама и...?
Такие вещи если только раз в год руководству тащить, показывать значимость, но не как оперативный инструмент. )
Такие вещи если только раз в год руководству тащить, показывать значимость, но не как оперативный инструмент. )
руководству же как правило нужны циферки, цветные значки и графики
Z
с elk прикольно кстати, юзаю вместе с logstash в ханипоте.
NK
> там в комментах кто-то всерьез говорил что спецы по ИБ которые умеют ELK — единороги. никто особо возражать не стал %)
Хорошо хоть динозаврами не обозвали.
Хорошо хоть динозаврами не обозвали.
IP
ID:568590497
Изучаю тут кстати презу росатома, смотрю как дашборды компоноют. Не понимаю что даёт вот такая например отчётность аналитику. Срубили 10 тыс спама и...?
Такие вещи если только раз в год руководству тащить, показывать значимость, но не как оперативный инструмент. )
Такие вещи если только раз в год руководству тащить, показывать значимость, но не как оперативный инструмент. )
Дашборды создаются обычно для отчетов руководству, они никак не для оперативной работы групп soc
y
Дашборды создаются обычно для отчетов руководству, они никак не для оперативной работы групп soc
Дашборды бывают разные, в том числе и полезные для мониторинга/триажа и реагирования