A
те кто об этом спорят просто никогда на самом деле не пробовали собрать все и засунуть в процессиннг
тут как с бэкапами))
Size: a a a
2020 May 15
NA
да нашелся он на самом деле, и спорить особо нечего
Да, точно! На этом тогда спор и остановился! Чертов мой склероз.
y
Привет, хотелось бы услышать разные мнения. Есть два стула:
1. Определить для себя скоуп данных, по которым хотелось бы искать в siem и дорабатывать по своему усмотрению этот список, добавляя новые источники информации. Тут я вижу проблему в том, что в случае возникновения новых типов атак или изменения профиля старых у нас будут слепые пятна.
2. Собираем все, что можем и потом уже занимаемся исключением по тому, что сочтем ненужным. Мне интуитивно кажется, что в таком случае мы имеем меньше слепых пятен, так как даже предполагая, что какой-то источник информации нам нужен и не убирая его, даже "на всякий случай", повышаем шансы заметить определенную атаку.
1. Определить для себя скоуп данных, по которым хотелось бы искать в siem и дорабатывать по своему усмотрению этот список, добавляя новые источники информации. Тут я вижу проблему в том, что в случае возникновения новых типов атак или изменения профиля старых у нас будут слепые пятна.
2. Собираем все, что можем и потом уже занимаемся исключением по тому, что сочтем ненужным. Мне интуитивно кажется, что в таком случае мы имеем меньше слепых пятен, так как даже предполагая, что какой-то источник информации нам нужен и не убирая его, даже "на всякий случай", повышаем шансы заметить определенную атаку.
другое дело — помогать молодым спецам.
вощем, да, Александр, берите первый стул, сэкономите много ресурсов и времени
вощем, да, Александр, берите первый стул, сэкономите много ресурсов и времени
m
Всем спасибо)
2020 May 16
NR
Первый стул даст полезный результат быстрее и будет более эффективным с точки зрения расходования денег. Сам видел и участвовал в построении обоих типов стульев.
2020 May 17
y
а мы хотим чтобы чекто было, как-то так (диалог безопасника и админа):
"а нафига тебе process execution лог?"
"а вот":
- список Sigma правил
- список Response Actions
"а нафига тебе process execution лог?"
"а вот":
- список Sigma правил
- список Response Actions
это мечта )
и вы в рамках RE&CT это реализовываете?
и вы в рамках RE&CT это реализовываете?
y
это мечта )
и вы в рамках RE&CT это реализовываете?
и вы в рамках RE&CT это реализовываете?
не, реакт он полностью про реагирование. в основном проекте будем эту аналитику по связям рисовать
y
не, реакт он полностью про реагирование. в основном проекте будем эту аналитику по связям рисовать
👍🏻
2020 May 18
N
MaxPatrol SIEM 5 лет!
Приходите отмечать 27 мая. В программе: тосты, истории про сием и праздничная игра "квиз, плиз". Готовиться к игре не нужно: будут вопросы про ИБ и SIEM-технологии (серьезные и не очень).
Собирайте коллег и присоединяйтесь!
Приходите отмечать 27 мая. В программе: тосты, истории про сием и праздничная игра "квиз, плиз". Готовиться к игре не нужно: будут вопросы про ИБ и SIEM-технологии (серьезные и не очень).
Собирайте коллег и присоединяйтесь!
y
Если вы пропустили регистрацию на начавшийся EU ATT&CK workshop, но хотели бы присоединиться, — отправьте письмо на почту Фредди Дезюра contact@freddydezeure.eu и попросите у него ссылку на митинг в Zoom.
Список докладов на сегодня-завтра:
https://www.attack-community.org/event/
Список докладов на сегодня-завтра:
https://www.attack-community.org/event/
IM
Если вы пропустили регистрацию на начавшийся EU ATT&CK workshop, но хотели бы присоединиться, — отправьте письмо на почту Фредди Дезюра contact@freddydezeure.eu и попросите у него ссылку на митинг в Zoom.
Список докладов на сегодня-завтра:
https://www.attack-community.org/event/
Список докладов на сегодня-завтра:
https://www.attack-community.org/event/
запись будет?
y
запись будет?
Неа. Такая вот политика. Но будут слайды
IM
тоже не плохо 👍
2020 May 19
V
Коллеги добрый день! Кто-нибудь сталкивался с интеграцией ELK и Microsoft Defender Security Center?
R
R
2020 May 21
R
Друзья привет, а насколько уместно будет здесь поделиться ссылкой на вебинар по Microsoft SIEM?
$
А суть вебинара? Технический или маркетинг?
R
Технический, по основному функционалу. На 3-4 часа.
$
Тогда можно, но если будет про мракетинг- могут закидать помидорами потом