Пентест... Когда не могут продолбиться в лоб, начинаются письма счастья на персонал. Резюме петровича.scr в отдел кадров и т.д.в надежде что из сотни всегда найдётся один, который несмотря на тренинги возьмет и откроет

ага ага) все средства хороши

а лучше все и сразу

Евангелист МТС обращает в свою веру SOC

а презинтация будет?:)

В конце недели появится, в группу скину

спасибо

Кто просил примеры проблем с Sigma?
Вот простое правило. Очень простое.

title: Suspicious Driver Load from Temp
description: Detetcs a driver load from a temporary directory
author: Florian Roth
logsource:
   product: windows
   service: sysmon
detection:
   selection:
       EventID: 6
       ImageLoaded: '*\Temp\*'
   condition: selection
falsepositives:
   - there is a relevant set of false positives depending on applications in the envirnment
level: medium


Вот такой Elastic DSL Query выдает компилятор:

{
 "query": {
   "constant_score": {
     "filter": {
         "bool": {
           "must": [
             {
               "bool": {
                 "must": [
                   {
                     "bool": {
                       "must": [
                         {
                           "match": {
                             "log_name": "Microsoft-Windows-Sysmon/Operational"
                           }
                         }
                       ]
                     }
                   }
                 ]
               }
             },
             {
               "bool": {
                 "must": [
                   {
                     "match": {
                       "event_id": 6
                     }
                   },
                   {
                     "match": {
                       "event_data.ImageLoaded": "*\\Temp\\*"
                     }
                   }
                 ]
               }
             }
           ]
         }
     }
   }
 }
}
   
Смотрим вот сюда:

{
 "match": {
   "event_data.ImageLoaded": "*\\Temp\\*"
 }
}

Этот запрос не верен по семантике. В исходнике подразумевался wildcard, а здесь стоит запрос точного соответствия.
Должно быть так:
{
 "wildcard": {
   "event_data.ImageLoaded": "*\\Temp\\*"
 }
}

Но и этот запрос неверен, поскольку \ перед * будет читаться не как \ + wildcard, а как ескейпнутая *.
Такая вот хрень.
Формального описания языка для sigma я не нашел. Без него не ясно, как написать свой компилятор.

по моему мы даже что-то такое в текст оформили https://journal.ib-bank.ru/post/575

+/- @vbengin тут видишь какое дело... SOC  по сути более процесс, чем некая точка в пространстве-времени. То, что ты предлагаешь - это примерно как сформулировать прачила ходьбы. Можно начать с правой ноги, а можно с левой. Можно тихонько гулять, а можно бежать. Бежать можно спринт или марафон. Можно вообще стоять. Можно вообще в припрыжку или на корточках. И нет единого "правильного" способа. Каждый раз мы решаем, как быть, исходя из конкретных обстоятельств и порой прямо в процессе меняем свое решение, подстраиваясь под новые обстоятельства. Так и SOC - он строится, развивается, меняются люди и технологии. Появляются новые задачи, старые исчезают или эволюционируют в соответствии с требованиями бизнеса и реалиями ландшафта и модели угроз... Ты можешь написать некий FAQ по общим вопросам, но все частности будут спецификой конкретного бизнеса и МУ. А дьявол вот в этих мелочах-частностях и кроется как раз.

Да, ты пишешь понятную историю. Но раз мы опустились до ассоциаций. Вот что у нас сегодня есть. Есть куча покупателей которым нужна машина. Каждому она нужна под какие-то свои задачи. И у каждого они свои. Один продавец, другой путешественник, третий медик. Так вот сейчас заходит он в магазин а там тупо груда запчастей. И стоят супер крутые консультанты и говорят "скажи какая у тебя задача и только тогда мы собирем тебе тачку" или даже "ты сам должен а конечном итоге ее собрать, потому что не зная как она работает , ты не сможешь на ней ехать". И вот удивление 90% собрать не могут. И вот удивление большую часть задач для чего нужна машина они тоже не могут сходу сформулировать. Ну кто думал что ему придется прыгать по бордюрам? А кто думал что ему нужна подвеска которая не кренит в поворотах, потому что он оказывается быстро ехать будет. И т.д. И вместо того чтобы сесть и обсудить
"Вот основные задачи. Для остальных надо сделать ещё вот такие варианты кестомизации а дальше пусть сами."
Мы ищем отмазы что все это невозможно , что у каждого все свое, и блаблабла.

Да нет нефига! У всех одно и то же! У 90% есть AD. У 99.99% есть windows или linux. Все хотят построить штуку которая оперативно выявляет и устроняет  угрозу/инцидент/'нужное вставить'. А мы продолжаем покачивать собственную экспертизу и говорить с высока на покупателей.
"Видешь как сложно собирать машину, но мы тебе можем помочь если ты заплатишь мне миллион" вместо того чтоб сделать большую часть заранее.

Ну, во-первых, когда-то машины были именно такие, и к ним полагался еще механик, чтобы можно было на них ездить. Во-вторых, мы не говорим, мы делаем. смотри https://github.com/ESGuardian/LittleBeat и это бесплатно

Немного не так. Собрать-купить-арендовать это одно. Тут речь про то, как "ездить" - то ли по автобану гонять, то ли на вездеходе по болотам, то ли на гоночном треке, то ли на белазе руду возить, то ли на автобусе пассажиров... Водила в каждом случае должн быть не "просто баранку держать", а именно оперативно реагирующий на обстановку, которая в разных случаях разная и разбирающийся в технике, которая  там тоже разная. Нельзя купить нкую generic-машину и сказать "универсальный вариант". Даже права имют разны категории.

Кстати в к серьезным транспортным средствам полагается целый экипаж ))

Или ты предлагаешь сказать, что водить автобус-локомотив-подлодку-самолет это вс едино?

Я хочу сказать что если все говорят а мало у кого работает , то это надо менять. А не отмазываться что это просто очень сложно. А ещё мне кажется большинству все же нужна нормальные машины которые поедут сразу. Предлагаю уйти от ассоциаций и вернуться в тему. Я внимательно собираю все написаное со вчера (и пока не много собралось).  И продолжаю ждать всех с мыслями "для каких целей строят soc". Просто подряд типы задач которые вы встречали в жизни. Чтобы не ныть потом что у всех что то своё

Для нормальных машин, на минуточку, нужна единая нормальная инфраструктура - СТО, АЗС, трассы, битумные установки на НПЗ. Пока не будет чего то вроде тотального NFV&SDN сравнение неуместно

@bdr777 расскажи лучше задачи которые решает сок

А ещё надо сдать на права, а то не пустят за руль, вот надо так с soc - не пускать туда без компетенций, даже у клиентов