YS
сам не использовал, но говорят, что в целом неплохо)
Size: a a a
2018 December 05
AA
есть компания Venafi
Вот типичный Security продукт.
На сайте одни пугалки и их супер решение. Хочешь понять как оно работает и сколько стоит — введи имя и телефон. Тебе позвонит индус и час будет мозг выносить. После этого впарит какой-нибудь трёх часовой вебинар об этой туле.
На сайте одни пугалки и их супер решение. Хочешь понять как оно работает и сколько стоит — введи имя и телефон. Тебе позвонит индус и час будет мозг выносить. После этого впарит какой-нибудь трёх часовой вебинар об этой туле.
AA
По итогу ты получишь демоверсию. Какой-нибудь образ диска для VMWare. Два дня будешь разворачивать, а там будет полное разочарование, что-то вроде Cisco Umbrella)
bc
Жизнт боль
M
По итогу ты получишь демоверсию. Какой-нибудь образ диска для VMWare. Два дня будешь разворачивать, а там будет полное разочарование, что-то вроде Cisco Umbrella)
Можно подробнее про разочарование с Cisco Umbrella?
AA
Да это только в безопасности так. С админскими или программерскими тулами такой хрени нету.
bc
Да это только в безопасности так. С админскими или программерскими тулами такой хрени нету.
AA
Можно подробнее про разочарование с Cisco Umbrella?
Нее, амбреллу не нужно разворачивать. Она просто разочарование.
M
Нее, амбреллу не нужно разворачивать. Она просто разочарование.
:) я понимаю что этот опыт травмирующий. Но если можно в паре-тройке тезисов какие основные минусы/стопфакторы были у вас?
M
@AlexAkulov я не из Cisco) в моей конторе намечается PoC этого решения.
AA
Мониторинг ДНС запросов он полезен когда это часть какой-то большой системы. В которой по совокупности факторов, в том числе по подозрительным запосам можно детектировать есть у тебя какая-то дрянь или нет.
Только по мониторингу ДНС-ов это сделать невозможно в принципе, но Циска говорит, что это готовый полноценный продукт.
По итогу мы имеем кучу фолсов, которые тебе нужно сидеть в их веб интерфейсе расгребать. Куча людей занята, сидит тикеты закрывает — пользы никакой.
С таким же успехом ты можешь включить в Bro списки с CriticalStack или что-то подобное в Сурикате и тоже получить кучу фолсов, но это бесплатно и это готово к интеграции с любой системой.
Только по мониторингу ДНС-ов это сделать невозможно в принципе, но Циска говорит, что это готовый полноценный продукт.
По итогу мы имеем кучу фолсов, которые тебе нужно сидеть в их веб интерфейсе расгребать. Куча людей занята, сидит тикеты закрывает — пользы никакой.
С таким же успехом ты можешь включить в Bro списки с CriticalStack или что-то подобное в Сурикате и тоже получить кучу фолсов, но это бесплатно и это готово к интеграции с любой системой.
bc
А еще достаточно посмотреть на Пики по трафику в мониторинге у сисадминов
KS
почему-то мне кажется, что вместо Umbrella можно поставить <любой коробочный SIEM/IDS и т.п.>
M
Мониторинг ДНС запросов он полезен когда это часть какой-то большой системы. В которой по совокупности факторов, в том числе по подозрительным запосам можно детектировать есть у тебя какая-то дрянь или нет.
Только по мониторингу ДНС-ов это сделать невозможно в принципе, но Циска говорит, что это готовый полноценный продукт.
По итогу мы имеем кучу фолсов, которые тебе нужно сидеть в их веб интерфейсе расгребать. Куча людей занята, сидит тикеты закрывает — пользы никакой.
С таким же успехом ты можешь включить в Bro списки с CriticalStack или что-то подобное в Сурикате и тоже получить кучу фолсов, но это бесплатно и это готово к интеграции с любой системой.
Только по мониторингу ДНС-ов это сделать невозможно в принципе, но Циска говорит, что это готовый полноценный продукт.
По итогу мы имеем кучу фолсов, которые тебе нужно сидеть в их веб интерфейсе расгребать. Куча людей занята, сидит тикеты закрывает — пользы никакой.
С таким же успехом ты можешь включить в Bro списки с CriticalStack или что-то подобное в Сурикате и тоже получить кучу фолсов, но это бесплатно и это готово к интеграции с любой системой.
Если как detection решение то наверное согласен, есть альтернатива.
Но если у вас куча лаптопов катающихся вне периметра то как превентивно блокировать обращения к нежелательным доменам?
Но если у вас куча лаптопов катающихся вне периметра то как превентивно блокировать обращения к нежелательным доменам?
M
Причем использую разные шаблоны по категориям ресурсов.
M
Про secwebGW можно не писать)
KS
Про secwebGW можно не писать)
что за зверь?
bc
Никак =) И Циска вас не спасет. Пока домен обнаружат, пока он доедет до агента на ноуте...