m
При условии что все устройства будут включены
Это уже не проблема неэкстракции данных в какое-то поле, разве нет?
Size: a a a
2021 February 25
Z
Это уже не проблема неэкстракции данных в какое-то поле, разве нет?
Это да, я уже в общем о ситуации
AI
А регулярные мероприятия типа прогона по всем покрытым атакам - не вариант?
Понятия не имею. Думаю, что нет - потому что не будете же вы во всех БД, в том числе и на продакшне, скрипт создания / удаления запускать. Не говоря уж о том, что разработать такой набор - это задача года так на два))
Ну и вторая часть, про удаление старых хостов и появление новых, тоже остаётся. Скрипт запустили, только БД логи не шлёт. А вы и не знаете, что она их не шлёт 😁
Ну и вторая часть, про удаление старых хостов и появление новых, тоже остаётся. Скрипт запустили, только БД логи не шлёт. А вы и не знаете, что она их не шлёт 😁
NA
Понятия не имею. Думаю, что нет - потому что не будете же вы во всех БД, в том числе и на продакшне, скрипт создания / удаления запускать. Не говоря уж о том, что разработать такой набор - это задача года так на два))
Ну и вторая часть, про удаление старых хостов и появление новых, тоже остаётся. Скрипт запустили, только БД логи не шлёт. А вы и не знаете, что она их не шлёт 😁
Ну и вторая часть, про удаление старых хостов и появление новых, тоже остаётся. Скрипт запустили, только БД логи не шлёт. А вы и не знаете, что она их не шлёт 😁
Для мониторинга поступления логов есть Мониторинг источников почти в любом СИЕМ
NA
появление новых источников и исчезновение старых тоже поддается контролю через сканирование инфры
Z
Для мониторинга поступления логов есть Мониторинг источников почти в любом СИЕМ
Он мониторит источники и поток:)
NA
да, структуру потока никто не умеет контролировать
m
Понятия не имею. Думаю, что нет - потому что не будете же вы во всех БД, в том числе и на продакшне, скрипт создания / удаления запускать. Не говоря уж о том, что разработать такой набор - это задача года так на два))
Ну и вторая часть, про удаление старых хостов и появление новых, тоже остаётся. Скрипт запустили, только БД логи не шлёт. А вы и не знаете, что она их не шлёт 😁
Ну и вторая часть, про удаление старых хостов и появление новых, тоже остаётся. Скрипт запустили, только БД логи не шлёт. А вы и не знаете, что она их не шлёт 😁
Ну это же уже другие 2 проблемы.
1. Зачем гонять на всех, типичный для цели данной атаки хост-группу хостов поднять, чтобы были все сервисы, которые должны отсылать свои логи для успешной корреляции.
2. Разрабатывать такой набор нужно не завтра с утра садиться, в просто процесс написания алерта чуть поменять.
3. Насчёт исчезания хостов - согласен.
Но вообще да, то, что я предложил сильно нагрузит аналитика - писать маленькую "разворачивалку" инфраструктуры под каждую покрытую атаку вряд-ли норм решение.
1. Зачем гонять на всех, типичный для цели данной атаки хост-группу хостов поднять, чтобы были все сервисы, которые должны отсылать свои логи для успешной корреляции.
2. Разрабатывать такой набор нужно не завтра с утра садиться, в просто процесс написания алерта чуть поменять.
3. Насчёт исчезания хостов - согласен.
Но вообще да, то, что я предложил сильно нагрузит аналитика - писать маленькую "разворачивалку" инфраструктуры под каждую покрытую атаку вряд-ли норм решение.
МЖ
сохраняйте события, на которых должно работать правило. И контроллируйте, что формат не поменялся.
Перепроверка нужна по сути при обновлении источника\парсеров
Перепроверка нужна по сути при обновлении источника\парсеров
AI
Ну это же уже другие 2 проблемы.
1. Зачем гонять на всех, типичный для цели данной атаки хост-группу хостов поднять, чтобы были все сервисы, которые должны отсылать свои логи для успешной корреляции.
2. Разрабатывать такой набор нужно не завтра с утра садиться, в просто процесс написания алерта чуть поменять.
3. Насчёт исчезания хостов - согласен.
Но вообще да, то, что я предложил сильно нагрузит аналитика - писать маленькую "разворачивалку" инфраструктуры под каждую покрытую атаку вряд-ли норм решение.
1. Зачем гонять на всех, типичный для цели данной атаки хост-группу хостов поднять, чтобы были все сервисы, которые должны отсылать свои логи для успешной корреляции.
2. Разрабатывать такой набор нужно не завтра с утра садиться, в просто процесс написания алерта чуть поменять.
3. Насчёт исчезания хостов - согласен.
Но вообще да, то, что я предложил сильно нагрузит аналитика - писать маленькую "разворачивалку" инфраструктуры под каждую покрытую атаку вряд-ли норм решение.
Ну я о том, что самый примитивный, дубовый путь - это развернуть тест-группу и гонять там тесты, и раз в неделю проверять, что алерты на эти тесты приходят. Можно репортом проверять, автоматически.
Но даже этот "простой" подход таит в себе такое количество геморроя и усилий (плюс накладные расходы на все новые алерты), что реализовывать это на практике сил не хватает. А уж если говорить про более-менее качественное покрытие части реальной инфраструктуры - то остановите этот трамвай, у меня в Линкедине ещё пять пропущенных вызовов
Но даже этот "простой" подход таит в себе такое количество геморроя и усилий (плюс накладные расходы на все новые алерты), что реализовывать это на практике сил не хватает. А уж если говорить про более-менее качественное покрытие части реальной инфраструктуры - то остановите этот трамвай, у меня в Линкедине ещё пять пропущенных вызовов
RI
да) и как с этим жить?
Ну, кто-то забивает, кто-то делает вид что чинит, третьи тупо делают вид что всё идёт по плану. Единицы (мифологические сущности, приравнены к небожителям) наладили процесс.
Z
Ruslan Ivanov
Ну, кто-то забивает, кто-то делает вид что чинит, третьи тупо делают вид что всё идёт по плану. Единицы (мифологические сущности, приравнены к небожителям) наладили процесс.
:))))
RI
но тема интересная, да......есть о чем подумать. если поток от источника можно мониторить, то поток конкретных событий уже веселое занятие.
Даже не поток событий, а их "рисунок" если угодно
RI
Самые приближенные цифры по скорости деградации можно получить посчитав кол-во команд изменения конфигурации за заданный период времени
40.
NA
Ruslan Ivanov
40.
Нет, 42
AI
Ruslan Ivanov
40.
Летят Чапаев и Петька в самолете, и вдруг Василий Иванович, сидящий за штурвалом пилота, вскрикивает: «Петька, приборы!» Следует ответ: «Тридцать восемь». «Что тридцать восемь?» — «А что приборы?»
`RI
а если представь писать последние поступление конкретных евентов с конкретного устройства в таблицу. дергать ее в момент времени и алертить, но как определить момент времени. Тут нужно обучаться на конкретном юзере, арме а еще связать с командировками и отпусками + больничными
Для начала - не надо писать в таблицу ;) Вы пытаетесь решить проблему привычным способом, а она так не решается в виду сложности.
RI
Летят Чапаев и Петька в самолете, и вдруг Василий Иванович, сидящий за штурвалом пилота, вскрикивает: «Петька, приборы!» Следует ответ: «Тридцать восемь». «Что тридцать восемь?» — «А что приборы?»
`Именно, коллега.
NA
вы серьезно считаете что темп изменений в инфре никак не влияет на настройки аудита и, как следствие, логи?
RI
Все контроли структуры событий должны быть закопаны именно там.
В принципе можно избрать стратегию, что если нормализация не нашла поля в сыром событии, или оно пустое, то такое событие просто отбрасывается и формируется ошибка, на которые можно реагировать.
Но так никто делать не будет ибо геморно )
В принципе можно избрать стратегию, что если нормализация не нашла поля в сыром событии, или оно пустое, то такое событие просто отбрасывается и формируется ошибка, на которые можно реагировать.
Но так никто делать не будет ибо геморно )
Типичный пример ошибки выжившего.