РМ
ID:673484512
В сислог пишутся хоть какие то события безопасности ос? У дебиана пишется . у астры все выпилили ?
Пишутся, плюс у нас свои логи
Size: a a a
2019 January 27
NK
Ну и напишите в Гайде. Подбор пароля ос- смотри туда в тот лог. И так по всей цепочке килчейна. Покажите что может астра без навесных решений. Хотябы так.
РМ
ID:673484512
Ну и напишите в Гайде. Подбор пароля ос- смотри туда в тот лог. И так по всей цепочке килчейна. Покажите что может астра без навесных решений. Хотябы так.
Вы спрашиваете, что может Астра в части мониторинга событий ИБ?
РМ
Об этом речь?
NK
Именно в привязке к митре и килл-чейн. Не просто перечисление "что мы можем" а в привязке к атакам. Нарушитель пытается запустить elf. Противодействие 1 - цифроподпись астры. Обнаружение 1 - смотри в тот лог астры. Обнаружение 2 (опционально )- поставь бесплатный оссек и мониторь фс.
РМ
ID:673484512
Именно в привязке к митре и килл-чейн. Не просто перечисление "что мы можем" а в привязке к атакам. Нарушитель пытается запустить elf. Противодействие 1 - цифроподпись астры. Обнаружение 1 - смотри в тот лог астры. Обнаружение 2 (опционально )- поставь бесплатный оссек и мониторь фс.
Есть политики безопасности и аудита. Они мониторятся заббиксом, от оссека отказались.
Сигнатурным или поведенческим анализом событий не занимаемся
https://wiki.astralinux.ru/pages/viewpage.action?pageId=38699795
Сигнатурным или поведенческим анализом событий не занимаемся
https://wiki.astralinux.ru/pages/viewpage.action?pageId=38699795
AK
Alexander Zemlanin
А кинте пожалуйста посмотреть какой нибудь достойный документо где используют MITRE , и лучше на систему, АСУ будет отлично, очень интересно изучить как это , заранее спасибо!
Некоторые правила корреляции на siem у меня сложилось впечатление точь по митре пишутся.
A
Alexander Kremlev
Некоторые правила корреляции на siem у меня сложилось впечатление точь по митре пишутся.
А есть у кого информация, как такие правила (в частности по MP SIEM) увязаны по митре, чтобы составить методику их проверки?
AS
Alexey
А есть у кого информация, как такие правила (в частности по MP SIEM) увязаны по митре, чтобы составить методику их проверки?
SIGMA rules имеют тег к какой технике относится правило
https://github.com/Neo23x0/sigma/tree/master/rules
https://github.com/Neo23x0/sigma/tree/master/rules
AS
Коротно о них кстати рассказал на SOC Форуме Сергей Рублев, директор центра мониторинга, Infosecurity a Softline company: Sigma rules: поделка или новый стандарт для SOC
Слайды: https://soc-forum.ib-bank.ru/files/files/SOC%202018/29_Rublyov.pdf
Слайды: https://soc-forum.ib-bank.ru/files/files/SOC%202018/29_Rublyov.pdf
AK
Разработчик может предоставить, но и по названию можно догадаться.
A
У разработчика такой инструмент пока в разработке;)
AS
Alexey
А есть у кого информация, как такие правила (в частности по MP SIEM) увязаны по митре, чтобы составить методику их проверки?
A
Спасибо! Осталось положить это на реализацию MP SIEM
AS
Alexey
Спасибо! Осталось положить это на реализацию MP SIEM
Это вы наверно спросите в @SOCDG и у вендора напрямую
A
Это вы наверно спросите в @SOCDG и у вендора напрямую
Вендор обещает. У сокостроителей поинтересуюсь, спасибо
AK
Это вы наверно спросите в @SOCDG и у вендора напрямую
Глянул, пустота:( тема вообще неактивна.
AS
Alexander Kremlev
Глянул, пустота:( тема вообще неактивна.
Я написал "спросите" а не гляньте :) там коллективный разум по сокам вроде
AL
ID:673484512
У митры вообще бедновато техник по альтернативным ОС. Пора нашим астралинуксам расчехляться и делать свою митру с куртизанками. А то импортозамещаемся, а навыки обороны и инструменты все под винду.
Никто не мешает добавить в MITRA ATT&CK свое - они только рады контрибуторам
NK
Alexey Lukatsky
Никто не мешает добавить в MITRA ATT&CK свое - они только рады контрибуторам
Ну ок. А то может им выгодна винда. Eqution group они например не особо расписали, в отличии от фанси бир. Методы родного анб палить не с руки.)