нужны! еще как нужны! но так надоели :)))))

Не мы, а вы!!! Мы как раз поняли про горшочки, с, эээ, мёдом!

Сегодня просто день горшочков с мёдом у меня)

Не правильные пчелы?;))

До ужаса)

Кстати, MITRE, видимо, любит хонипоты...

Кто-то занес им чемодан? Тааа неее, не может такого быть...

Думаю, дело в зрелости этой их матрицы. В перспективе все эти обманки надо схлопнуть в подтехники, как в новой ATT&CK, а пока так, первый блин...

AppDiversity не смущает? Тоже во всех колонках встречается ;-)

Всё-таки не во всех

Привет! Мы как обычно, опрашивая важные опросы, не можем обойти этот чатик! Все совершенно анонимно, потратьте 2 минуты, пожалуйста!

Building a SIEM: combining ELK, Wazuh HIDS and Elastalert for optimal performance

Статья про построение SOC на 20 тысяч хостов на основе инструментов без дорогой единовременной лицензии. В статье рассматриваются минусы такой системы в сравнении с тем же Splunk, а также несколько мыслей по поводу того, что нужно иметь в виду при построении подобной архитектуры. Основной минус - тяжелая поддержка. Приходится отдельно настраивать правила для быстрого Wazuh, и медленного, но подробного Elastalert.

https://medium.com/bugbountywriteup/building-a-siem-combining-elk-wazuh-hids-and-elastalert-for-optimal-performance-f1706c2b73c6

#ops #tools

Все хорошо, кроме эласталерта)

По каким критериям?)

По юзабилити)) можно на ту же графану заменить

там есть Elastic SIEM упасихоспади есть

все в этих схемах с эластиком хорошо
ровно до того момента, когда надо начать делать сложные корреляции
тут уже становиться грустно и здраствуйте костыли)

Вот такая штука есть, например, https://siddhi.io/