DD
Алексей Классныйчувак
С таким не сталкивался. Сети Передачи Данных это соседний отдел :)
Так ото ж))
Size: a a a
2018 December 13
A
Dmitry Darensky
Стандартные соковские скрипты и плэйбуки пока молчат об этом. К сожалению. Надеюсь что пока))
Скрипты - нет, разобраться - запросто
АК
В том отделе работают дяди от 50 и старше с несколькими дисерами за плечами
A
Это в начале 200-х, надо было в бумаге копаться, искать, тестить где-то. Сейчас все проще
АК
Alexey
Скрипты - нет, разобраться - запросто
Разобраться в чужом коде ?
A
Алексей Классныйчувак
Разобраться в чужом коде ?
Причем тут чужой код?
DD
Разобраться в чем?
АК
Тогда в чем можно запросто разобраться ?
A
Dmitry Darensky
Разобраться в чем?
Мусорные пакеты, необычные сессии, сбой времени
DK
Алексей Классныйчувак
3 линия это threat hunting. вторая и первая чем занимается ?
Первая отрабатывает подозрительные события по плейбукам. Вторая подключается к нестандартным ситуациям, делает корреляции для них и готовит пдейбуки. Третья - тритхантинг и экспертиза.
По идее, максимум, с чем слова "арксайт" и "сием" должны ассоциироваться у третьей линии - это "блин, а ведь когда-то я этим занимался" :)
По идее, максимум, с чем слова "арксайт" и "сием" должны ассоциироваться у третьей линии - это "блин, а ведь когда-то я этим занимался" :)
A
Вот! +
DD
Сидит сокер, первая линия, аутсорсного сока. Прилетает событие "команда на выгрузку кофига контроллера первой ступени очистки участка ректификации". (в лучшем случае это будет так выглядеть, обычно сорс, дисти, айдишник команды, коды смены статуса, и прочая херь). Таки шо же сделает с этим эксперт?
DD
Где же эти красивые плейбуки и иксперты третьей линии которые это г***о разобрать смогут?
DK
Dmitry Darensky
Где же эти красивые плейбуки и иксперты третьей линии которые это г***о разобрать смогут?
В соке :) Если их нет, то это не сок, это "дежурная смена подразделения ИБ", которая не очень понимает, чем занимается
DK
Или сок, который взял на сопровождение объект, который ему не по зубам :)
A
Dmitry Darensky
Сидит сокер, первая линия, аутсорсного сока. Прилетает событие "команда на выгрузку кофига контроллера первой ступени очистки участка ректификации". (в лучшем случае это будет так выглядеть, обычно сорс, дисти, айдишник команды, коды смены статуса, и прочая херь). Таки шо же сделает с этим эксперт?
Чем оно принципиально отличается от тех событий, которые прилетают в сием? о)))
DD
Дим. Ты только что минимум расстроил абсолютно все соки не только в РФ, но и ф Европе тоже...
АК
Наверно подобные команды сами по себе не плодятся. Наверно есть рабочий процесс согласно которому такую команду можно считать случайным нажатием чьей-то жопы о какую-то кнопку.
DD
Alexey
Чем оно принципиально отличается от тех событий, которые прилетают в сием? о)))
Событий или инцидентов?
A
Событий. У нас же нет плейбуков и правил