RI
Для этого этот бенчмарк должен получить заметную популярность )
Расскажи это мобильным бенчмаркам или тому же PCMARK ;)
Size: a a a
2020 August 31
VG
Хочу поскорее заценить siem от каспера. Там длинная история создания уходит корнями в ИЗ
SS
Да я как бы те же яйца только в профиль и упомянул) red canary. Если б получить от вендора результат прогона таких тестов на его дефолтном контенте - хз, я б купился
А есть такие результаты: https://attackevals.mitre.org/
DP
Ну тебе любой пентестер начнет играться с таймингами, и вся корреляция летит...
Да пофиг, речь про другое.
Вендор продает дефолтный контент.
Вендор продает свои сценарии и настройки источников в комплекте.
Система же как бы должна проходить какое-то функциональное тестирование перед выдачей на рынок? Вот если б вместе с дефолтным контентом видеть его тесты по атомарным компонентам типовых атак - почему нет? Или ни один вендор свои контент-паки у себя не тестит и показать нечего?)
Вендор продает дефолтный контент.
Вендор продает свои сценарии и настройки источников в комплекте.
Система же как бы должна проходить какое-то функциональное тестирование перед выдачей на рынок? Вот если б вместе с дефолтным контентом видеть его тесты по атомарным компонентам типовых атак - почему нет? Или ни один вендор свои контент-паки у себя не тестит и показать нечего?)
NA
Ruslan Ivanov
Расскажи это мобильным бенчмаркам или тому же PCMARK ;)
Они имеют значительную аудиторию и производители вынуждены с этим считаться. Я уверен, что тот же IBM не будет упарываться только из-за того, что в России 10 человек решили использовать бенчмарк для сравнения SIEM.
DP
Sergey Soldatov
А есть такие результаты: https://attackevals.mitre.org/
Это ж едры
DP
Для этого этот бенчмарк должен получить заметную популярность )
Скажу другими словами: пофиг даже на единый бенчмарк, скорее всего это утопия.
Есть банальное желание увидеть, что продукт за Х килобаксов проходит хоть какое-то функциональное тестирование, чтобы была возможность оценить методику и результаты.
А то дефолтный контент нередко совсем нерабочий, будто вообще не тестили. Это клёво, что он хоть какой-то есть, но когда он не работает на дефолтной нормализации, например - есть в этом что-то некрасивое.
Есть банальное желание увидеть, что продукт за Х килобаксов проходит хоть какое-то функциональное тестирование, чтобы была возможность оценить методику и результаты.
А то дефолтный контент нередко совсем нерабочий, будто вообще не тестили. Это клёво, что он хоть какой-то есть, но когда он не работает на дефолтной нормализации, например - есть в этом что-то некрасивое.
МЖ
Да пофиг, речь про другое.
Вендор продает дефолтный контент.
Вендор продает свои сценарии и настройки источников в комплекте.
Система же как бы должна проходить какое-то функциональное тестирование перед выдачей на рынок? Вот если б вместе с дефолтным контентом видеть его тесты по атомарным компонентам типовых атак - почему нет? Или ни один вендор свои контент-паки у себя не тестит и показать нечего?)
Вендор продает дефолтный контент.
Вендор продает свои сценарии и настройки источников в комплекте.
Система же как бы должна проходить какое-то функциональное тестирование перед выдачей на рынок? Вот если б вместе с дефолтным контентом видеть его тесты по атомарным компонентам типовых атак - почему нет? Или ни один вендор свои контент-паки у себя не тестит и показать нечего?)
https://mitre.microfocus.com/ + https://marketplace.microfocus.com/arcsight/content/esm-default-content
Вместе с контентом набор событий, на которых можно посмотреть как все это работает
толку то?
Вместе с контентом набор событий, на которых можно посмотреть как все это работает
толку то?
NA
Максим Жевнерев
https://mitre.microfocus.com/ + https://marketplace.microfocus.com/arcsight/content/esm-default-content
Вместе с контентом набор событий, на которых можно посмотреть как все это работает
толку то?
Вместе с контентом набор событий, на которых можно посмотреть как все это работает
толку то?
А вот если такое же, но только вендоронезависимо )
МЖ
Все равно приходится переделывать\дорабатывать\менять и парсинг и категоризацию и правила и контент вокруг них
МЖ
А вот если такое же, но только вендоронезависимо )
https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES - мне вот эта тема очень нравится как идея
NA
Максим Жевнерев
https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES - мне вот эта тема очень нравится как идея
Оу, спасибо, не знал.
МЖ
наличие возможности взять исходных логов и посмотреть, как у тебя на них реагирует контент. Но тут тоже много ньюансов возникает.
SS
Оу, спасибо, не знал.
Ну и подписаться на Самира можно https://twitter.com/SBousseaden
NA
Максим Жевнерев
наличие возможности взять исходных логов и посмотреть, как у тебя на них реагирует контент. Но тут тоже много ньюансов возникает.
Ага, там придется порешать несколько тех. задачек )
NA
Sergey Soldatov
Ну и подписаться на Самира можно https://twitter.com/SBousseaden
Спасибо!
DP
Максим Жевнерев
https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES - мне вот эта тема очень нравится как идея
👍
IB
Года полтора назад собирал презу по поводу из каких палок можно собирать разные части SIEM. Вписывал только то, с чем сам разбирался. Преза обзорная, сделать прям разбор всех технологий руки не дошли )
Хорошо, но хочется больше подробностей. Также хочется посмотреть на сравнение апача и неапача. Где какие возможности, требования к ресурсам, простота администрирования
NA
Я и писал, что оформит это руки не дошли :)
NA
Если дойдут, то поделюсь.