NK
Дашборды бывают разные, в том числе и полезные для мониторинга/триажа и реагирования
Образцовый скриншот?
Size: a a a
2018 June 03
NK
с elk прикольно кстати, юзаю вместе с logstash в ханипоте.
Ханипот готовое что-то или самопильный?
y
ID:568590497
Образцовый скриншот?
посмотрите проект SOF-ELK, там много вариантов.
из неочевидного, того что мы используем для initial investigations — дашборды по подозрительной активности по платформам или типам данных.
при срабатывании алерта аналитик кликает по ссылка и попадает на специальный дашборд, где подсвечивает информацию о конкретном хосте. для всех данных дашборд не наглядный, а для отдельных хостов — очень даже
из неочевидного, того что мы используем для initial investigations — дашборды по подозрительной активности по платформам или типам данных.
при срабатывании алерта аналитик кликает по ссылка и попадает на специальный дашборд, где подсвечивает информацию о конкретном хосте. для всех данных дашборд не наглядный, а для отдельных хостов — очень даже
NK
В принципе еще смотреть по графикам некие отклонения от среднего по больнице может быть полезно.
2018 June 04
Z
ID:568590497
Ханипот готовое что-то или самопильный?
готовый
2018 June 05
Z
Господа, кто нибудь использует блэклисты в сиеме? для мониторинга соединений к левым айпишникам? ботнет c&c например или майнинг пул?
Z
я в поиске нормально блэклиста
PB
Тут надо либо нормальный threat intelligence покупать, либо мониторить самостоятельно публичные отчеты об APT или новых рассылках малвари.
Проделывать бессмысленную работу, чтобы потом показывать количество инцидентов руководству?
Проделывать бессмысленную работу, чтобы потом показывать количество инцидентов руководству?
PB
Прокси с ендпоинтом будут справляться с уже обнаруженными угрозами, то что уже есть в таких списках. Останется только завернуть весь интернет трафик в компании через прокси и развернуть на хостах ендпоинты.
NK
Тут misp рекламировали, но сам ещё не успел посчупать.
IH
так мисп это агрегатор. к нему фиды надо подключать
NK
Теоретически вендора которые продают ids или av с контролем сети , подкачивают различные блек листы.
NK
Надо смотреть полезность источников может уже детектяться тем что есть ...
NK
так мисп это агрегатор. к нему фиды надо подключать
Ну да. Я так понимаю кто что задетектил , делится с сообществом подробностями.
PB
Бесплатные фиды не очень, платные фиды - они платные)
PB
у фейсбука есть ThreatExchange, есть у AlienVault - Open Threat Exchange
PB
из бесплатных
L
У checkpoint ngfw отлично справляется
PB
У checkpoint ngfw отлично справляется
)))