NA
Если он его находит какими-то другими методами - не правилами, то гуд
Size: a a a
2020 August 31
VG
Ruslan Ivanov
Витя, это к вопросу о 100500 правил (сейчас Володя придёт и я огребу, чувствую)
Ты же знаешь, я адепт Arcsight. Имхо, Остальное заставляет инженеров из-за низкого финансирования придумывать связки с elk
VG
Если он его находит какими-то другими методами - не правилами, то гуд
Мы как то с ребятами прикалывались и выявили что grep и awk работают быстрее чем ваши siem)))
DP
Для ответа на этот вопрос, по честному, надо составить список инцидентов (сценариев), которые должен ловить SIEM и честно их прогнать на каждом.
Да хотя бы какие-то атомарные тесты прогонять, redcanary тот же. Неужели никто не делал?
NA
Мы как то с ребятами прикалывались и выявили что grep и awk работают быстрее чем ваши siem)))
Да, верно. Не надо думать, что Grep - тупая и медленная команда. Она достаточно хорошо оптимизирована для поточной обработки данных.
Z
Мы как то с ребятами прикалывались и выявили что grep и awk работают быстрее чем ваши siem)))
+ в vim:
:%! grep -v ...
(:
:%! grep -v ...
(:
NA
Да хотя бы какие-то атомарные тесты прогонять, redcanary тот же. Неужели никто не делал?
Можно попробовать на базе https://github.com/atc-project/atomic-threat-coverage сделать такой тест. Там у ребят есть и сэмплы событий и конкретные сценарии )
VG
+ в vim:
:%! grep -v ...
(:
:%! grep -v ...
(:
Vim это попса. Норм пацаны сразу в vi хреначат😂 сразу вспоминаю статью: как выйти из vi
VG
Можно попробовать на базе https://github.com/atc-project/atomic-threat-coverage сделать такой тест. Там у ребят есть и сэмплы событий и конкретные сценарии )
Даня красавчик. 👍 вот только sigma у меня вызывает много вопросов
DP
Можно попробовать на базе https://github.com/atc-project/atomic-threat-coverage сделать такой тест. Там у ребят есть и сэмплы событий и конкретные сценарии )
Да я как бы те же яйца только в профиль и упомянул) red canary. Если б получить от вендора результат прогона таких тестов на его дефолтном контенте - хз, я б купился
VG
Да я как бы те же яйца только в профиль и упомянул) red canary. Если б получить от вендора результат прогона таких тестов на его дефолтном контенте - хз, я б купился
Ну тебе любой пентестер начнет играться с таймингами, и вся корреляция летит...
RI
Мы как то с ребятами прикалывались и выявили что grep и awk работают быстрее чем ваши siem)))
Это давно известный факт. Быстрее и с меньшим потреблением ресурсов.
NA
Да я как бы те же яйца только в профиль и упомянул) red canary. Если б получить от вендора результат прогона таких тестов на его дефолтном контенте - хз, я б купился
Сделать подобный бенчмарк - лучший способ глумления над вендорами (
Z
Даня красавчик. 👍 вот только sigma у меня вызывает много вопросов
Want to improve? -> GitHub (:
Z
Сделать подобный бенчмарк - лучший способ глумления над вендорами (
epic fail?)))
RS
Да, верно. Не надо думать, что Grep - тупая и медленная команда. Она достаточно хорошо оптимизирована для поточной обработки данных.
ну её скорость можно вполне оценить, когда она в диск не сильно упирается (типа с NVME)
RI
Сделать подобный бенчмарк - лучший способ глумления над вендорами (
не обольщайся, вендоры напишут модуль для скоростного прохождения тестов
AV
Ruslan Ivanov
не обольщайся, вендоры напишут модуль для скоростного прохождения тестов
ну вот зачем так сразу. нормально же сидели мечтали
NA
Ruslan Ivanov
не обольщайся, вендоры напишут модуль для скоростного прохождения тестов
Для этого этот бенчмарк должен получить заметную популярность )
RI
Простите, но суровая правда жизни