Q
гуд
Size: a a a
2021 September 27
Q
есть ли еще мнения и опыт внедрения?
NA
А Вы с какой целью интересуетесь? Ваши односложные вопросы настораживают.
SS
Есть сценарии, когда обманками эффективнее детектить. Например, энумерацию LDAP. Проще включить аудит доступа к некоторым обманками, чем на все 100500 объектов в домене. Подобных сценариев можно придумать много.
EP
а в чем приемущество обманок в кейсе LDAP перед тем чтобы завайтлистить общие запросы на сетевом уровне (NTA или IDS, не обязательно в логах) и получать алерты только на то чего нет в вайтлистах ?
Q
😁
идея развернуть в сети для детекции сканов и другой вредоносной активности с последующим реагированием
плюс разместить в организациях в разных сферах с целью исследования активности тех или иных адресов с последующими их действиями
бюджеты ограниченные и другие меры типа nta нерелевантны
идея развернуть в сети для детекции сканов и другой вредоносной активности с последующим реагированием
плюс разместить в организациях в разных сферах с целью исследования активности тех или иных адресов с последующими их действиями
бюджеты ограниченные и другие меры типа nta нерелевантны
SS
У вас в сети это действительно работает, или вы теоретически?
EP
на практике удавалось сделать подобное, да
DP
а ldaps?
и как-то из странной пушки по воробьям, относительно настройки аудита X объектов в ldap
и как-то из странной пушки по воробьям, относительно настройки аудита X объектов в ldap
EP
Можно же ограничивать уровень шифрования.
Про ханипот, если бы вся суть заключалось в создании объекта в AD и заведению логов оно бы столько ни стоило.
Про ханипот, если бы вся суть заключалось в создании объекта в AD и заведению логов оно бы столько ни стоило.
DP
Оно - PT NAD?) Не, ну так-то интересный подход.
EP
Я про ханипоты тырпрайзные
DP
У нас тут кони с людьми слегка а кучу смешались. Я про конкретный кейс по ldap с ханипот-объектами в лдапе (они как бы бесплатные) vs IDS
EP
Оке, если одно найдёт активность только по доступу к конкретному объекту, второе может поймать аномалию в поведении, и там будет любой объект. Можно же не енамить всё подряд ?
Возможностей потенциально больше имхо
Возможностей потенциально больше имхо
DP
Ну так-то да
AL
Есть. Вопрос в том, стоят они того, чтобы новую технологию внедрять в компании или можно обойтись текущими игрушками
K
Как и любые honey tokens, фейковые ldap объекты ценны тем, что мониторить надо их, а не всё остальное. И, соответственно, стоимость такого мониторинга меньше, чем стоимость всеобъемлющего мониторинга, например, всех LDAP объектов.
И ложных срабатываний меньше.
И ложных срабатываний меньше.
K
А на вопрос «стоит ли» вообще невозможно ответить в рамках чата. Все организации разные, трейдофы, бюджеты, культура и прочее у всех тоже разные.
Софистический вопрос, короче. )
Софистический вопрос, короче. )
AL
Вы же все равно LDAP мониторите. То есть DDP - это плюс к имеющимся инструментам. И помимо LDAP вам еще нужны use case для DDP. И тут вопрос, что дешевле/дороже - DDP или расширение лицензии SIEM? Если внедрить бесплатные решения и иметь аналитиков под них, вай нот. Но это будет скорее исключение из правила, чем норма. Ну примерно как ML в SOC ах ;-)
K
Или не мониторим. А мониторим только 4624 для конкретного эккаунта.