Z
Ruslan Ivanov
Нолик, я тебе так скажу - подавляющее большинство "SIEM" тоже из коробки не того.
У меня опыт только с одним
Size: a a a
2020 August 31
Z
Ну и elk
VG
Ruslan Ivanov
Нолик, я тебе так скажу - подавляющее большинство "SIEM" тоже из коробки не того.
А как же +100500 правил mp siem?
RI
Для этого у меня есть крутые сотрудники😀
Ну как-то так, да.
RI
Витя, это к вопросу о 100500 правил (сейчас Володя придёт и я огребу, чувствую)
RI
Проблема, как ни странно, диалектическая (там Сергей выше писал) - что определяет: задача инструмент, или инструмент задачу?
RI
Безусловно, можно выкопать котлован под многоэтажку саперной лопаткой (и копают же), можно экскаватором двухметровую траншею
Z
А как же +100500 правил mp siem?
а че там? ты про то что их нет из коробки?
NA
"Что первично, дух или материя?"
Z
да у меня такая фантазия что ты хрен в какой коробке найдешь такие правила)))))
NA
Вот и тут встает вопрос на какой платформе такие хотелки проще решаются :)
yt
да у меня такая фантазия что ты хрен в какой коробке найдешь такие правила)))))
Кореляция с фазами луны?
Z
Кореляция с фазами луны?
и скоростью ветра
Т
да у меня такая фантазия что ты хрен в какой коробке найдешь такие правила)))))
А в какой коробке в принципе есть минимально достаточный набор правил? 😆
Z
А в какой коробке в принципе есть минимально достаточный набор правил? 😆
а что такое минимально достаточный набор? достаточный для кого?
Z
ой всё короче) спать пора
NA
Для ответа на этот вопрос, по честному, надо составить список инцидентов (сценариев), которые должен ловить SIEM и честно их прогнать на каждом.
NA
Но о подобных опытах я не слышал.
RI
Для ответа на этот вопрос, по честному, надо составить список инцидентов (сценариев), которые должен ловить SIEM и честно их прогнать на каждом.
А как быть с теми про которые ты не в курсе (TTP, которые тебе не известны, но используются злоумышленником)?
NA
Для любого SIEM, если у него нет правил по конкретному сценарию, такой сценарий и является тем самым неизвестным TTP.