https://wildwesthackinfest.com/training-schedule/ - куча разных онлайн-тренингов с лабами по SOC, средствам эмуляции атак, форензике, редтимингу, threat hunting. Оплата по принципу "плати сколько хочешь" - от 0 до 500 баксов.

Всём привет коллеги
Я знаю, что наверняка эта тема ни раж уже обсуждалась в этом чате
Но поделитесь пожалуйста своим профессиональным мнением по soc prime
Насколько на данный момент он  релевантные и актуальный ?

вроде тут было куча ребят фанатов SOC Prime. Но их молчание настораживает.

https://wildwesthackinfest.com/training-schedule/ - куча разных онлайн-тренингов с лабами по SOC, средствам эмуляции атак, форензике, редтимингу, threat hunting. Оплата по принципу "плати сколько хочешь" - от 0 до 500 баксов.

https://www.sans.org/event/cyber-threat-intelligence-summit-2021/summit-agenda - в этом году бесплатно и онлайн

Всем привет! подскажите кто какие профили (бейзлайны) строит в siem, которые реально работают и мало фолсят. Например: процесс, количество уникальных хостов где он встретился за последние X дней. Далее в самом правиле алерт, если находим процесс, встречающийся менее чем на Y машинах

Или для логов сетевых соединений серверов, наверное, тоже можно  построить профиль входящих/исходящих соединений. Если увидели новое, алерт, хотя тут боюсь много фолсов будет

п.3 еще более фантастическая вещь относительно корреляционного движка. Если при поиске событий, AQL еще как-то корректно сравнивать с SQL, т.к. как вы правильно отметили это поиск в прошлое, которое уже случилось(хотя AQL еще может на потоке фильтровать события). То в разрезе правил, применения синтаксиса SQL к корелляционному движку приведёт к раздуванию правила, т.к. перевод простейших примитивов корелляционных движков в SQL, приводит к раздуванию, чтобы достичь хоть какую-то эквивалентность, я уже не говорю про такие вещи как пороги, частичная сработка, итд итп.  
Про двадцатипятилетнюю историю языка тоже не понятно, т.е. если он эти 25 лет использовался по назначению и хорошо справлялся со своей задачей отнюдь, не значит, что на 26 год, он будет хорошо справляться с другой задачей, для которой он не подходит и решение которой при его созданнии не закладывалось 🙂

Всем привет! подскажите кто какие профили (бейзлайны) строит в siem, которые реально работают и мало фолсят. Например: процесс, количество уникальных хостов где он встретился за последние X дней. Далее в самом правиле алерт, если находим процесс, встречающийся менее чем на Y машинах

Или для логов сетевых соединений серверов, наверное, тоже можно  построить профиль входящих/исходящих соединений. Если увидели новое, алерт, хотя тут боюсь много фолсов будет

Создание/удаление пользователя
Установка/удаление софта
Изменение системных параметров.
Неспешные логины
Ошибки запуска системных утилит
Появление нового хоста в сети.
Появление нового сетевого доступа
и т.д.

2 кейс при достаточном количестве машин - самоубийство

Не совсем понял создание удаление пользователя тут в каком контектсте? Просто как событие это ведь не особо про профилирование/построение бейзлайна

Тогда может я не совсем корректно понял значение термина "бейзлайн". Я так понял, что речь идет о наборе типов событий, которые нужно анализировать в любом случае, и алерты на которые наиболее точные)

Под бейзлайном я понимаю стандартное состояние какого-то показателя, если идет отклонение от него то алерт. Достаточно хорошо работает правило для детекта дос атак:  считаем количество уникальных источников  сетевых соединений к ресурсу, например за 5 минут, если видим увеличение более чем в 10 раз, то алерт.

Это не baseline, а threshold