Size: a a a

SOС Технологии

2020 March 25

I

IZ_SOC in SOС Технологии
Ну раз все чем то делятся то и мы попробуем. Все - бета, использовать на свой страх и риск. https://github.com/izsoc
источник

$

$t3v3;0) in SOС Технологии
IZ_SOC
Ну раз все чем то делятся то и мы попробуем. Все - бета, использовать на свой страх и риск. https://github.com/izsoc
Спасибо
источник

JD

Johnny Depp in SOС Технологии
Visitoid
Коллеги добрый день! Подскажите пожалуйста Open Source решение для аудита файловых серверов, если вообще такое имеется в природе?
готового опенсорса не встречал, но при наличии рук и опыта можно подобное сваять на elk+windows audit. Причем по-сути elk можно заменить чем угодно: бесплатной версией спланка. Были еще какие-то системы которые умели молотить логи и к которым можно было прикрутить дашборд, но я чот подзабыл
источник

JD

Johnny Depp in SOС Технологии
Johnny Depp
готового опенсорса не встречал, но при наличии рук и опыта можно подобное сваять на elk+windows audit. Причем по-сути elk можно заменить чем угодно: бесплатной версией спланка. Были еще какие-то системы которые умели молотить логи и к которым можно было прикрутить дашборд, но я чот подзабыл
еще позволю себе дать себе вам совет. Если решите делать сами изучите сначала по триалкам что умеют коммерческие решения - возможно сможете избежать ошибок
источник

v

vbengin in SOС Технологии
Johnny Depp
готового опенсорса не встречал, но при наличии рук и опыта можно подобное сваять на elk+windows audit. Причем по-сути elk можно заменить чем угодно: бесплатной версией спланка. Были еще какие-то системы которые умели молотить логи и к которым можно было прикрутить дашборд, но я чот подзабыл
для файловых помоек виндовый аудит не подойдёт. Он к сожалению роняет файловую систему под нагрузкой
источник

v

vbengin in SOС Технологии
нужны ендпоинты которые обращения к объектам будут снимать на уровне ядра и не так нагружать систему
источник

JD

Johnny Depp in SOС Технологии
vbengin
нужны ендпоинты которые обращения к объектам будут снимать на уровне ядра и не так нагружать систему
а есть что-то из опенсорса что так будет делать?
источник

HT

Heirhabarov Teymur in SOС Технологии
Sysmon снимает обращения на уровне ядра
источник

JD

Johnny Depp in SOС Технологии
vbengin
нужны ендпоинты которые обращения к объектам будут снимать на уровне ядра и не так нагружать систему
Как минимум понятно что это можно обойти просто подключившись к smb-хосту через тунель в сети.
источник

HT

Heirhabarov Teymur in SOС Технологии
Heirhabarov Teymur
Sysmon снимает обращения на уровне ядра
Там свой драйвер минифильтр файловой системы
источник

МЖ

Максим Жевнерев in SOС Технологии
vbengin
для файловых помоек виндовый аудит не подойдёт. Он к сожалению роняет файловую систему под нагрузкой
ничего он не роняет.
источник

HT

Heirhabarov Teymur in SOС Технологии
Максим Жевнерев
ничего он не роняет.
Виндовый аудит файловой системы тоже на уровне ядра работает
источник

JD

Johnny Depp in SOС Технологии
Heirhabarov Teymur
Sysmon снимает обращения на уровне ядра
кстати. У меня тут довеча вышел спор с одним безопасником. Товарщ утверждал что при наличии докрученого виндового аудита sysmon нафиг не нужен потому что все есть в аудите. Скажем, то что по вопросу аудита создания процесса это еще правда, то по остальным я не сравнивал. Просто изначально начал юзать sysmon, что скажите?
источник

v

vbengin in SOС Технологии
Максим Жевнерев
ничего он не роняет.
сколько раз к нам в SIEM не пытались настроить виндоус аудит для мониторинга файловых помоек, столько раз отказывались от этого в силу резко поплохевшей винды. (речь про контроль чтения записи изменения файлов с привязкой к пользователям)
источник

МЖ

Максим Жевнерев in SOС Технологии
сравнений виндового аудита и сисмона вагон. И там и там есть плюсы и минусы. Часть кейсов лучше решается через виндовый аудит. Часть - через сисмон
источник

v

vbengin in SOС Технологии
ещё если не изменяет память винда не может отличить предпросмотр файлов в каталоге от их копирования и\или открытия, но это уже не точно
источник

HT

Heirhabarov Teymur in SOС Технологии
Максим Жевнерев
сравнений виндового аудита и сисмона вагон. И там и там есть плюсы и минусы. Часть кейсов лучше решается через виндовый аудит. Часть - через сисмон
+
источник

МЖ

Максим Жевнерев in SOС Технологии
vbengin
ещё если не изменяет память винда не может отличить предпросмотр файлов в каталоге от их копирования и\или открытия, но это уже не точно
там действительно много ньюансов, но правильно выбранные параметры позволяют мониторить файловые шары.
Благо примеры подключения (включая профилирование доступов к папкам) есть и успешные :)
источник

HT

Heirhabarov Teymur in SOС Технологии
Johnny Depp
кстати. У меня тут довеча вышел спор с одним безопасником. Товарщ утверждал что при наличии докрученого виндового аудита sysmon нафиг не нужен потому что все есть в аудите. Скажем, то что по вопросу аудита создания процесса это еще правда, то по остальным я не сравнивал. Просто изначально начал юзать sysmon, что скажите?
Буду необъективен, отвечая на данный вопрос, так как уже почти 5 лет занимаюсь монитоингом эндпоинтов на базе edr. Безусловно сисмон может больше, но я знаю много кейсов, где и сисмон беспомощен, не говоря уж о виндовом аудите
источник

JD

Johnny Depp in SOС Технологии
Heirhabarov Teymur
Буду необъективен, отвечая на данный вопрос, так как уже почти 5 лет занимаюсь монитоингом эндпоинтов на базе edr. Безусловно сисмон может больше, но я знаю много кейсов, где и сисмон беспомощен, не говоря уж о виндовом аудите
спс, а сравнения погуглю
источник