Один мудрый человек как-то сказал:

Добрый день.  Для того, чтобы от sysmon была польза, необходимо, чтобы он собирал те события, которые нужны для выявления событий, свидетельствующих об атаках. При этом важно соблюсти баланс и, по возможности, не собирать те данные, которые не используются для анализа. Кроме того, не стоит забывать, что некоторые настройки могут негативно сказываться на производительности всей системы.
Если говорить про наш SIEM, то мы поставляем наборы правил корреляции в составе пакетов экспертизы. Там есть и описание необходимых для настроек sysmon, необходимых для работы наших правил.

Посмотрите ещё на вот такой конфиг: https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml

Там есть полезные комментарии

И ещё интересный проект: https://github.com/olafhartong/sysmon-modular

Модульный конфиг, состоящий из отдельных частей. Удобен для постепенного изучения

Спасибо, я swifton конфиг и использую, уже покромсал его, но все равно не влезаю.

Можете уточнить куда вы не влезаете? (извиняюсь, возможно я что-то пропустил)

Хотя в той же спланк документации пишут про 2-4 МБ в день, при правильной настройке

Да, я писал
Спланк квота на 1 машину примерно 35-40 МБ в день

Спасибо за отзыв, буду дальше тетсить, нашел и доки и пару статей

И презентацию с конфигом

Короткие читщиты с советами по аудиту (и его тюнингу) WindowsLogs и Sysmon:
https://www.malwarearchaeology.com/cheat-sheets

Хорошие ссылки на разные материалы по сисмону:
https://github.com/MHaggis/sysmon-dfir
первая ссылка в списке  - общий гайд по сисмону от TrustedSec (КМК, весьма неплох, если вы только начинаете использовать сисмон)

Но как ни крути, действительно хорошо оптимизировать аудит и сбор необходимых событий можно только имея внятные входные условия. Для меня в упрощенном виде нужно:
* модель угроз (бизнес-риск -> объект защиты -> векторы атак с оценкой возможности реализации каждого вектора);
* имея такую упрощенную модель уже можно будет расставлять приоритеты, раскладывать каждый вектор атаки на TTP, проецировать их на конкретные узлы инфраструктуры и под них формировать логику выявления, исходя из который вы сможете понять какие исходные данные (логи, трафик, возможность получения снимка активности ОС,..) нужны для:
a. автоматизированного оперативного выявления атак;
b. анализа потенциальный инцидентов;
c. расследования подтвержденных инцидентов;
d. Threat Hunting-а и ретроанализа.

При этом не обязательно тащить сразу все эти исходные данные в средства мониторинга. Например, условные хостовые события сетевой активности (Sysmon 3, SecurityLog 5156) генерируют большой поток событий, поэтому часто на узлах включают аудит этих событий (с исключениями в конфиге Sysmon), но не собирают их с узлов (либо собирают с ограниченного скоупа узлов) без видимой необходимости (подтягивают только в случаях "b"-"d").
Поэтому советы по профилям аудита и сбора событий носят общий характер и не факт, что будут полезны для мониторинга вашей инфры.

Благодарю

Ещё нужно?

Ага

Отлично, го в личку

Всем привет! Выпустили вторую статью цикла - https://habr.com/ru/company/bizone/blog/559208/

Добрый день дорогие друзья. Никак не могу найти нормальные, а не копирайт, статьи по SIEM системам. Совсем недавно узнал о таких инструментах, но мне показалось, что всякие IDS, DLP, SIEM, фаерволы нового поколения очень похожи между собой по своей функциональности. Разумеется, они решают разные задачи.  Из-за похожих функций этих систем, если мы используем их в совокупности, наверное операторам или администраторам БД приходится бороться с дублежом информации. Вместо автоматизации рутины мы можем, по моему скромному умозаключению, получить еще большую рутину в виде обработки ложных сообщений безопасности. Но, раз организации используют такие мощные инструменты, они безусловно должны приносить ощутимую пользу для бизнеса. В плане SIEM систем еще можно понять почему те или иные фирмы предпочитают коммерческие решения, потому как бесплатные решения, как мне показалось на первый взгляд, не совсем удобные и сложные в настройках. Но IDS? Недавно читал записи Алексея Лукацкого, который является очень крутым безопасником со всеми регалиями настоящего специалиста. В своих заметках он, в целом, весьма скептически относится ко всяким коммерческим IDS Российского производства. Из его заметок можно сделать вывод, что берется какой нибудь открытый продукт на подобие Snort или Suricata, добавляются какие то косметические изменения и вуа-ля, новый российский продукт готов. Единственное отличие это сертификат. Я бы хотел узнать у людей знающих есть ли какие нибудь сравнения открытых систем IDS с коммерческими решениями, так как я далек от этой темы, и не могу самостоятельно пртестировать их эффективность. Хотелось бы получить подробную информацию об IDS и SIEM, статей хороших не так много, а книг еще меньше на эту тему.

Если мне не изменяет память, в том году на анти-малваре был пост со сравнением продуктов.

Вы наверное имели ввиду вот эту статью: https://www.anti-malware.ru/compare/Intrusion-Detection-Systems ?

нет