$
ок. Как stixII засунуть в:
1. ELK (сделать запрос на ELK DSL)
2. Создать правило для suricata?
1. ELK (сделать запрос на ELK DSL)
2. Создать правило для suricata?
Любой ti платформой?
Size: a a a
2020 February 11
$
Мисп например
JD
Любой ti платформой?
мб. не юзал
JD
Мисп например
да, вы правы.
JD
А Гугл говорит ещё о https://github.com/mitre/stix2patterns_translator, например
да, там без сурикаты. Спс.
$
да, там без сурикаты. Спс.
Сурикату не гуглил, но конвертеры есть, кмк
v
Кто-нибудь с ФинЦЕРТ автоматизацию продумывал? Фиг с ним с меняющимся API, есть какая-то проверенная связка Linux+СКЗИ (+прокси, наверно), чтобы ни костылей ни вопросов к встраиванию СКЗИ не было? Это все для связи IRP с АСОИ.
Мне кажется у регулятора надо попросить бесплатную утилиту которая отправляет инциденты наверх. А потом можно ещё попросить утилиту которая бы получала цсв. Ну и пару примеров как этот цсв заталкивать в продукты но тут регулятор конечно не будет делать интеграцию со всем что есть на рынке а скорее отдаст это в комьюнити, но все проще работать с этими объектами уже локально.
$
да, там без сурикаты. Спс.
Будут сложности - нарисуем скрипт, мне не жалко
HT
я немного покурил над psexec, и вероятно можно сделать следующие:
1. отключить C$ (надо тестить как сам DC к этому отнесеться)
2. отключить 135 порт от пользователей - это предотвратит удаленное взаимодействие с Windows Service Control Manager API (надо тестить). GPO судя по докам не должны пострадать
1. отключить C$ (надо тестить как сам DC к этому отнесеться)
2. отключить 135 порт от пользователей - это предотвратит удаленное взаимодействие с Windows Service Control Manager API (надо тестить). GPO судя по докам не должны пострадать
Не совсем так. Взаимодействие с SCM осуществляется через SMB Pipe svcctl, а это порт 445/tcp. Блокировка 135го порта спасет от удаленного запуска через WMI, который использует DCE/RPC (как раз таки порт 135)
$
Мне кажется у регулятора надо попросить бесплатную утилиту которая отправляет инциденты наверх. А потом можно ещё попросить утилиту которая бы получала цсв. Ну и пару примеров как этот цсв заталкивать в продукты но тут регулятор конечно не будет делать интеграцию со всем что есть на рынке а скорее отдаст это в комьюнити, но все проще работать с этими объектами уже локально.
Так в итоге к вам же и придут, вы вроде над асои трудитесь
HT
Не совсем так. Взаимодействие с SCM осуществляется через SMB Pipe svcctl, а это порт 445/tcp. Блокировка 135го порта спасет от удаленного запуска через WMI, который использует DCE/RPC (как раз таки порт 135)
C$ отключить - тоже не совсем так. Psexec использует шару ADMIN$
v
Так в итоге к вам же и придут, вы вроде над асои трудитесь
Как там правильно учат отвечать. "Я не могу прокомментировать это сообщение, однако хотел обратить внимание, что имею все основания полагать что, то о чем написал ранее - возможно"
RI
Как там правильно учат отвечать. "Я не могу прокомментировать это сообщение, однако хотел обратить внимание, что имею все основания полагать что, то о чем написал ранее - возможно"
Можно утащу в копилочку?
JD
Мне кажется у регулятора надо попросить бесплатную утилиту которая отправляет инциденты наверх. А потом можно ещё попросить утилиту которая бы получала цсв. Ну и пару примеров как этот цсв заталкивать в продукты но тут регулятор конечно не будет делать интеграцию со всем что есть на рынке а скорее отдаст это в комьюнити, но все проще работать с этими объектами уже локально.
утилита для автоматической отправки своих IOC или сырых данных в ФинСерт?
v
Про свои иок в сторону финцерта не знаю. Знаю про инциденты (ну по факту сырцы иоков)
v
Ruslan Ivanov
Можно утащу в копилочку?
:)
2020 February 12
JD
Не совсем так. Взаимодействие с SCM осуществляется через SMB Pipe svcctl, а это порт 445/tcp. Блокировка 135го порта спасет от удаленного запуска через WMI, который использует DCE/RPC (как раз таки порт 135)
1. Отдельный пайп нельзя удалить.
2. Судя по https://web.archive.org/web/20140314182130/http://support.microsoft.com/kb/842715 должны встретиться проблемы если попробовать удалить IPC$.
3. судя по https://serverfault.com/questions/246390/how-can-i-disable-pipe-svcctl-in-group-policy на пайп svcctl можно попробовать навесить какие либо acl (но это не кажется интерпрайз решением)
4. а вот для мониторинга в сети судя по https://docs.microsoft.com/en-us/powershell/module/smbshare/set-smbserverconfiguration?view=win10-ps можно попробовать включить гранулировано шифрование шар
направление решения проблемы понятно. Посмотрим что выйдет
2. Судя по https://web.archive.org/web/20140314182130/http://support.microsoft.com/kb/842715 должны встретиться проблемы если попробовать удалить IPC$.
3. судя по https://serverfault.com/questions/246390/how-can-i-disable-pipe-svcctl-in-group-policy на пайп svcctl можно попробовать навесить какие либо acl (но это не кажется интерпрайз решением)
4. а вот для мониторинга в сети судя по https://docs.microsoft.com/en-us/powershell/module/smbshare/set-smbserverconfiguration?view=win10-ps можно попробовать включить гранулировано шифрование шар
направление решения проблемы понятно. Посмотрим что выйдет
РМ
В общем я пока разбираюсь с темой как ГОСТ-овый канал правильно до них реализовать, за формат и API, к счастью, вендор IRP отвечает. Из всех перечисленных в регламенте СКЗИ только КриптоПро на свежих Linux заявили поддержку.. Не густо. Буду разбираться какие риски есть при использовании несертифицированных реализаций ГОСТ крипты в этом взаимодействии с регулятором :)
Пишите нам, будем думать
