v
То есть там всегда ходят одни и те же пакеты от одних и тех же источников. И когда появляется новый хост во взаимодействии со скудом это уже плохо. Я бы уже реагировал на это.
Size: a a a
2018 June 07
Z
То есть там всегда ходят одни и те же пакеты от одних и тех же источников. И когда появляется новый хост во взаимодействии со скудом это уже плохо. Я бы уже реагировал на это.
это да, это верно. Но проблема в том что скудов много)
Z
до сотни
Z
писал под каждый корреляцию и алерт
Z
вернее не под каждый, общую корреляцию
Z
а их в список
Z
и скуд это просто пример, всякие принт серверы, коммутаторы и все остальное железо
NK
Ну вот сверху в блоге чел рассматривал примеры на языке R по отклонению от средних в любых показателях . Это следующий шаг после сигнатурных сзи. Только эти технологии дороги.
Z
общее количество которых десятки тысяч
v
ID:568590497
Ну вот сверху в блоге чел рассматривал примеры на языке R по отклонению от средних в любых показателях . Это следующий шаг после сигнатурных сзи. Только эти технологии дороги.
А главное не фига не работает если выйти из конкретной специфики. То есть крайне узконаправленные задачи решают в узком месте.
v
Не видел ни одного нормального внедрения системы выявления аномалий на общекорпоративном трафике. Он слишком "живой"
Z
особено если нет ограничений в посещении ресурсов в интернете
Z
я каждый день открываю все dst.port
Z
и смотрю куда же у нас прут обращения
Z
типо вот такого
v
общее количество которых десятки тысяч
Вопрос архитектуры к сожалению всегда встаёт когда мы понимаем на сколько дорого реализация "вставить нужное" на текущим варианте инфраструктуры. Иногда дешевле что-то переделать в ИТ чем пытаться наложить ИБ.
v
Закрывай 25! Точно говорю он лишний! :)
Z
6881 и 84 тысячи обращений к нему меня пугают)
v
Вдруг там мстителей выложили в HD?
Z
😂ну вот и у будет раздача люлей