v
4. Иногда siem интегрируют с домашним таск менеджером. Чаще всего из-за того что ИТ по другому не работает и/или потому по процессу по другому нельзя
Size: a a a
2020 March 25
v
Пункт #4 очень редко используют именно для расследования чаще всего это именно интерфейс взаимодействия с ИТ и отчётная система.
2020 March 26
v
Помимо джиры ещё используют hive (но красивых инсталляций я не встречал)
v
Рекомендовал бы паралельно любой из вышеперечисленных разворачивать конфлюенс для накопления полезных знаний
y
Sergey
А вот с этим у меня всегда проблемы) Хотелось бы спросить как коллеги работают с инцидентами. Т.е. кому передают и как, через встроенные механизмы или через Сервис деск например, или у самих есть необходимый уровень доступа и квалификация чтобы с ними разбираться.
все что касается реагирования давно изложено в книгах. Вот одна из ключевых по DFIR [1].
Может и кажется что в РФ оно появилось типо лет пять назад (что вообще, с позиции масштабов какбе так и есть), но вообще для мира это не ново.
если нужны тренинги, то смотрите в сторону:
- Института SANS серии FOR [2]
- AND от Криса Сандерса, Investigation Theory и другие [3]
Но в целом я бы вам рекомендовал вот этот документ [4], вам поможет с порядком в плане постановки вопросов и поиска информации.
[1] https://g.co/kgs/LL5Bah
[2] https://www.sans.org/courses/incident-response-digital-forensics
[3] https://www.networkdefense.io/library/the-analyst-mindset/110302/about/
[4] https://github.com/DC7499/kb/blob/master/beginners.md
Может и кажется что в РФ оно появилось типо лет пять назад (что вообще, с позиции масштабов какбе так и есть), но вообще для мира это не ново.
если нужны тренинги, то смотрите в сторону:
- Института SANS серии FOR [2]
- AND от Криса Сандерса, Investigation Theory и другие [3]
Но в целом я бы вам рекомендовал вот этот документ [4], вам поможет с порядком в плане постановки вопросов и поиска информации.
[1] https://g.co/kgs/LL5Bah
[2] https://www.sans.org/courses/incident-response-digital-forensics
[3] https://www.networkdefense.io/library/the-analyst-mindset/110302/about/
[4] https://github.com/DC7499/kb/blob/master/beginners.md
S
все что касается реагирования давно изложено в книгах. Вот одна из ключевых по DFIR [1].
Может и кажется что в РФ оно появилось типо лет пять назад (что вообще, с позиции масштабов какбе так и есть), но вообще для мира это не ново.
если нужны тренинги, то смотрите в сторону:
- Института SANS серии FOR [2]
- AND от Криса Сандерса, Investigation Theory и другие [3]
Но в целом я бы вам рекомендовал вот этот документ [4], вам поможет с порядком в плане постановки вопросов и поиска информации.
[1] https://g.co/kgs/LL5Bah
[2] https://www.sans.org/courses/incident-response-digital-forensics
[3] https://www.networkdefense.io/library/the-analyst-mindset/110302/about/
[4] https://github.com/DC7499/kb/blob/master/beginners.md
Может и кажется что в РФ оно появилось типо лет пять назад (что вообще, с позиции масштабов какбе так и есть), но вообще для мира это не ново.
если нужны тренинги, то смотрите в сторону:
- Института SANS серии FOR [2]
- AND от Криса Сандерса, Investigation Theory и другие [3]
Но в целом я бы вам рекомендовал вот этот документ [4], вам поможет с порядком в плане постановки вопросов и поиска информации.
[1] https://g.co/kgs/LL5Bah
[2] https://www.sans.org/courses/incident-response-digital-forensics
[3] https://www.networkdefense.io/library/the-analyst-mindset/110302/about/
[4] https://github.com/DC7499/kb/blob/master/beginners.md
Ох ты, спасибо большое!
y
все что касается реагирования давно изложено в книгах. Вот одна из ключевых по DFIR [1].
Может и кажется что в РФ оно появилось типо лет пять назад (что вообще, с позиции масштабов какбе так и есть), но вообще для мира это не ново.
если нужны тренинги, то смотрите в сторону:
- Института SANS серии FOR [2]
- AND от Криса Сандерса, Investigation Theory и другие [3]
Но в целом я бы вам рекомендовал вот этот документ [4], вам поможет с порядком в плане постановки вопросов и поиска информации.
[1] https://g.co/kgs/LL5Bah
[2] https://www.sans.org/courses/incident-response-digital-forensics
[3] https://www.networkdefense.io/library/the-analyst-mindset/110302/about/
[4] https://github.com/DC7499/kb/blob/master/beginners.md
Может и кажется что в РФ оно появилось типо лет пять назад (что вообще, с позиции масштабов какбе так и есть), но вообще для мира это не ново.
если нужны тренинги, то смотрите в сторону:
- Института SANS серии FOR [2]
- AND от Криса Сандерса, Investigation Theory и другие [3]
Но в целом я бы вам рекомендовал вот этот документ [4], вам поможет с порядком в плане постановки вопросов и поиска информации.
[1] https://g.co/kgs/LL5Bah
[2] https://www.sans.org/courses/incident-response-digital-forensics
[3] https://www.networkdefense.io/library/the-analyst-mindset/110302/about/
[4] https://github.com/DC7499/kb/blob/master/beginners.md
Благодарю
M
все что касается реагирования давно изложено в книгах. Вот одна из ключевых по DFIR [1].
Может и кажется что в РФ оно появилось типо лет пять назад (что вообще, с позиции масштабов какбе так и есть), но вообще для мира это не ново.
если нужны тренинги, то смотрите в сторону:
- Института SANS серии FOR [2]
- AND от Криса Сандерса, Investigation Theory и другие [3]
Но в целом я бы вам рекомендовал вот этот документ [4], вам поможет с порядком в плане постановки вопросов и поиска информации.
[1] https://g.co/kgs/LL5Bah
[2] https://www.sans.org/courses/incident-response-digital-forensics
[3] https://www.networkdefense.io/library/the-analyst-mindset/110302/about/
[4] https://github.com/DC7499/kb/blob/master/beginners.md
Может и кажется что в РФ оно появилось типо лет пять назад (что вообще, с позиции масштабов какбе так и есть), но вообще для мира это не ново.
если нужны тренинги, то смотрите в сторону:
- Института SANS серии FOR [2]
- AND от Криса Сандерса, Investigation Theory и другие [3]
Но в целом я бы вам рекомендовал вот этот документ [4], вам поможет с порядком в плане постановки вопросов и поиска информации.
[1] https://g.co/kgs/LL5Bah
[2] https://www.sans.org/courses/incident-response-digital-forensics
[3] https://www.networkdefense.io/library/the-analyst-mindset/110302/about/
[4] https://github.com/DC7499/kb/blob/master/beginners.md
+++
2020 March 29
NA
Всем изоляционный привет. Вот как-то так выглядит динамика создания вредоносных сайтов с COVID в доменном имени.
2020 March 30
NA
Всем привет.
Писать о том, что запустил сайт с фидами rstcloud.net – глупо.
Поэтому напишу что сделал бота, который ищет IP и Домены по нашей базе.
Есть ограничения: не более 10 запросов в сутки, глубина поиска по базе – 7 дней (вообще храним историю за 6 месяцев). /help - для отображения лимита запросов.
З.ы. Напомню, что мы собираем только фришные фиды. Коммерческих в базе нет.
Бот: @IOCFeedBot
Писать о том, что запустил сайт с фидами rstcloud.net – глупо.
Поэтому напишу что сделал бота, который ищет IP и Домены по нашей базе.
Есть ограничения: не более 10 запросов в сутки, глубина поиска по базе – 7 дней (вообще храним историю за 6 месяцев). /help - для отображения лимита запросов.
З.ы. Напомню, что мы собираем только фришные фиды. Коммерческих в базе нет.
Бот: @IOCFeedBot
2020 April 01
Л
Ну раз все чем то делятся то и мы попробуем. Все - бета, использовать на свой страх и риск. https://github.com/izsoc
мммм кастомфилды...
v
Всем привет.
Писать о том, что запустил сайт с фидами rstcloud.net – глупо.
Поэтому напишу что сделал бота, который ищет IP и Домены по нашей базе.
Есть ограничения: не более 10 запросов в сутки, глубина поиска по базе – 7 дней (вообще храним историю за 6 месяцев). /help - для отображения лимита запросов.
З.ы. Напомню, что мы собираем только фришные фиды. Коммерческих в базе нет.
Бот: @IOCFeedBot
Писать о том, что запустил сайт с фидами rstcloud.net – глупо.
Поэтому напишу что сделал бота, который ищет IP и Домены по нашей базе.
Есть ограничения: не более 10 запросов в сутки, глубина поиска по базе – 7 дней (вообще храним историю за 6 месяцев). /help - для отображения лимита запросов.
З.ы. Напомню, что мы собираем только фришные фиды. Коммерческих в базе нет.
Бот: @IOCFeedBot
Респект!
I
Ну вы же умные, разберётесь как нибудь 😂
v
Не вырвать, не вырезать, не забыть из наших голов арксайт.
I
Казалось бы, причем здесь арксайт....
v
Любовь к кастомфилдам пришла оттуда.
$
Любовь к кастомфилдам пришла оттуда.
А я думал от автоматического парсинга непонятных структур
$
:)
I
Ээээ, а как например джиру заточить под формат инцидента госсопки? Ну если денег нет на сам знаешь какой продукт ? 😂😂😂
Л
Ээээ, а как например джиру заточить под формат инцидента госсопки? Ну если денег нет на сам знаешь какой продукт ? 😂😂😂
А с какими проблемами вы столкнулись?