AD
Для специалиста важнее ссылка на cve/бду и ссылки на исправления от вендора, чем литературное произведение) Сканер-ВС это обеспечивает
Size: a a a
2019 March 29
П
да шутейка же была, наверное🙂
P
Ну в каждой шутке есть доля шутки.
У военных стоят сканеры уязвимостей и сиемы? Стоят.
Во всех тз что идут от МО РФ есть требования о том, что вся эксплуатационная документация, ркд, интерфейс, должны быть на русском языке (что очевидно, понятно и правильно)
Должно ли описание всех вообще уязвимостей из базы сканера уязвимостей или сиема переведено на русский?
На мой взгляд должно.
Потому что ладно английский, завтра сертифицируют что нибудь китайское, интерфейс переведут, а описание уязвимостей - так и будет на китайском. На немой вопрос бедняг из 8го управления скажут "ну а чо, в сканере ас то английский, тоже инлстранный. Почему им можно а нам нет?
У военных стоят сканеры уязвимостей и сиемы? Стоят.
Во всех тз что идут от МО РФ есть требования о том, что вся эксплуатационная документация, ркд, интерфейс, должны быть на русском языке (что очевидно, понятно и правильно)
Должно ли описание всех вообще уязвимостей из базы сканера уязвимостей или сиема переведено на русский?
На мой взгляд должно.
Потому что ладно английский, завтра сертифицируют что нибудь китайское, интерфейс переведут, а описание уязвимостей - так и будет на китайском. На немой вопрос бедняг из 8го управления скажут "ну а чо, в сканере ас то английский, тоже инлстранный. Почему им можно а нам нет?
AD
Именно поэтому в Сканер-ВС отчеты и интерфейс могут быть и на русском, и на английском языке) Переключение делается одним кликом. В этом можно убедиться лично: https://scaner-vs.ru/trial/
GS
В этом сканер-вс ужасный машинный перевод рекомендаций :)
AD
Над улучшением перевода мы сейчас работаем) но вся ключевая информация в отчетах присутствует, как писал выше, есть ссылки на cve/bdu/updates
A
А почему в 2019году Сканер-ВС за многие тыщщи не знает что такое прокси-сервер с авторизацией и приходится изобретать костыли? А вопрос по техподдержке решается полгода и то только благодаря моим звонкам раз в неделю?
A
Но это я все победил (даже то, что приходится на виртуалке держать его, ведь проекты сохранить нельзя и при перезагрузке все слетает), меня мучает иной вопрос- сканер ВС сертифицирован для всего чего можно и нельзя, им можно проверять и сети по ГТ вроде как... Но нельзя же средства разработки иметь на объектах с ГТ, так зачем там arduino ide? Как оно туда попало? Что говорить проверяющим, которые укажут на нарушения ?
2019 March 30
ДЮ
имхо, наше субъективное мнение
А чем обусловлена такая оценка? И что не не так с публичными правилами по вашему мнению?
AY
Обусловлена слабым уровнем кейсов. Кейсы, типичны, никаких новых методов и способов обнаружения. Всё уже обсосано по 100500 раз. Где кейсы по детекту реверс-шеллов, утилит типа bloodhound, а о ja3 коллеги слышали?
V
Alexey Yakovlev
Обусловлена слабым уровнем кейсов. Кейсы, типичны, никаких новых методов и способов обнаружения. Всё уже обсосано по 100500 раз. Где кейсы по детекту реверс-шеллов, утилит типа bloodhound, а о ja3 коллеги слышали?
+
y
Alexey Yakovlev
Обусловлена слабым уровнем кейсов. Кейсы, типичны, никаких новых методов и способов обнаружения. Всё уже обсосано по 100500 раз. Где кейсы по детекту реверс-шеллов, утилит типа bloodhound, а о ja3 коллеги слышали?
> Обусловлена слабым уровнем кейсов
Что значит слабым уровнем? Что есть "сильный" уровень, по вашему мнению?
> Кейсы типичны
Что означает типичные? В том смысле что "обычные"?
Иными словами, кейсы должны быть не обычными чтобы быть хорошими?
> никаких новых методов и способов обнаружения
Чем плох представленный метод обнаружения?
Что вы подразумеваете под "новыми" методами и в чем их приемущество?
> Всё уже обсосано по 100500 раз.
Иными словами, если это хорошо известное правило обнаружения, то оно от этого становится плохим?
> Где кейсы по детекту реверс-шеллов, утилит типа bloodhound, а о ja3 коллеги слышали?
Иными словами, отсутствие каких либо кейсов делает существующие плохими?
Почему вы считаете что этот пункт относится к качеству существующих правил?
Что значит слабым уровнем? Что есть "сильный" уровень, по вашему мнению?
> Кейсы типичны
Что означает типичные? В том смысле что "обычные"?
Иными словами, кейсы должны быть не обычными чтобы быть хорошими?
> никаких новых методов и способов обнаружения
Чем плох представленный метод обнаружения?
Что вы подразумеваете под "новыми" методами и в чем их приемущество?
> Всё уже обсосано по 100500 раз.
Иными словами, если это хорошо известное правило обнаружения, то оно от этого становится плохим?
> Где кейсы по детекту реверс-шеллов, утилит типа bloodhound, а о ja3 коллеги слышали?
Иными словами, отсутствие каких либо кейсов делает существующие плохими?
Почему вы считаете что этот пункт относится к качеству существующих правил?
y
Давайте я попробую озвучить некоторые критерии по которым правила могут быть оценены.
А вы поправите если не согласны или дополните.
И продолжим диалог с конкретными определениями, на одном языке.
Требования к правилу обнаружения:
- успешно детектировать конкретную угрозу/поведение в некотором контексте, с маппингом к некой модели угроз. на текущий момент это MITRE ATT&CK.
- контролированно фолсить или не фолсить вообще.
- не кушать много ресурсов на вычисление, быть оптимизированным.
- (в идеале) не предоставлять атакующему возможность обходить созданное правило. либо иметь в структуре описание о том как правило можно обойти и контролировать возможности обхода другими правилами или контролями. но это задача совершенно другого уровня и над этим сейчас корпят лучшие умы из разных организаций и сообществ.
А вы поправите если не согласны или дополните.
И продолжим диалог с конкретными определениями, на одном языке.
Требования к правилу обнаружения:
- успешно детектировать конкретную угрозу/поведение в некотором контексте, с маппингом к некой модели угроз. на текущий момент это MITRE ATT&CK.
- контролированно фолсить или не фолсить вообще.
- не кушать много ресурсов на вычисление, быть оптимизированным.
- (в идеале) не предоставлять атакующему возможность обходить созданное правило. либо иметь в структуре описание о том как правило можно обойти и контролировать возможности обхода другими правилами или контролями. но это задача совершенно другого уровня и над этим сейчас корпят лучшие умы из разных организаций и сообществ.
2019 March 31
AY
> Обусловлена слабым уровнем кейсов
Что значит слабым уровнем? Что есть "сильный" уровень, по вашему мнению?
> Кейсы типичны
Что означает типичные? В том смысле что "обычные"?
Иными словами, кейсы должны быть не обычными чтобы быть хорошими?
> никаких новых методов и способов обнаружения
Чем плох представленный метод обнаружения?
Что вы подразумеваете под "новыми" методами и в чем их приемущество?
> Всё уже обсосано по 100500 раз.
Иными словами, если это хорошо известное правило обнаружения, то оно от этого становится плохим?
> Где кейсы по детекту реверс-шеллов, утилит типа bloodhound, а о ja3 коллеги слышали?
Иными словами, отсутствие каких либо кейсов делает существующие плохими?
Почему вы считаете что этот пункт относится к качеству существующих правил?
Что значит слабым уровнем? Что есть "сильный" уровень, по вашему мнению?
> Кейсы типичны
Что означает типичные? В том смысле что "обычные"?
Иными словами, кейсы должны быть не обычными чтобы быть хорошими?
> никаких новых методов и способов обнаружения
Чем плох представленный метод обнаружения?
Что вы подразумеваете под "новыми" методами и в чем их приемущество?
> Всё уже обсосано по 100500 раз.
Иными словами, если это хорошо известное правило обнаружения, то оно от этого становится плохим?
> Где кейсы по детекту реверс-шеллов, утилит типа bloodhound, а о ja3 коллеги слышали?
Иными словами, отсутствие каких либо кейсов делает существующие плохими?
Почему вы считаете что этот пункт относится к качеству существующих правил?
Коллега, Вы топите за СокПрайм? Моя мысль заключалась в том, что эта организация продаёт правила для сием, которые уже давно написаны и известны. Аля процессНэйм = мимикац. За что платить, где новизна? Мы такие сценарии для сисмона можем пачками выпускать.
ДЮ
Я ни слова не сказал про сок прайм. Разговор про sigma
RS
- успешно детектировать конкретную угрозу/поведение в некотором контексте, с маппингом к некой модели угроз. на текущий момент это MITRE ATT&CK.
Мне очень нравится ATT&CK, но в чём ценность наличия маппинга с точки зрения оценки качества правила?
Т.е. как дополнительный второстепенный критерий, да, но если оно фолсит в оба направления, не конфигурируемо или требует невозможных ресурсов (корреляция, сквозной аудит), то наличие рюшечек не влияет ни на что
Мне очень нравится ATT&CK, но в чём ценность наличия маппинга с точки зрения оценки качества правила?
Т.е. как дополнительный второстепенный критерий, да, но если оно фолсит в оба направления, не конфигурируемо или требует невозможных ресурсов (корреляция, сквозной аудит), то наличие рюшечек не влияет ни на что
ДЮ
MITRE ATT&CK просто частный случай модели угроз. Действительно нужно объяснять почему правило должно каким-то образом ложиться на модель угроз?
e
Я ни слова не сказал про сок прайм. Разговор про sigma
Я правила от SOC-Prime пока так и не увидел. Но оценка коллег, которые отписались выше, что правила прайма ~ как в sigma, для меня ожидаема. Если это действительно так, то немного странно просить деньги за контент, который выкладывают в публичный доступ. Я про набор правил и их качество.
К sigma у меня нет никаких претензий - очень крутая задумка и неплохая реализация. Я очень рад, что сейчас проект активно развивается и наполняется неплохими правилами (надеюсь, что в скором врмени появится возможность подключиться к нему и добавить своих знаний). Но не смотря на крутость проекта в целом, к правилам есть вопросы.
Например, свежая ветка "sigma/rules/windows/process_creation/", правила которые с апрувом от atc:
win_lethalhta - ок
win_possible_applocker_bypass - нет "presentationhost.exe" (пруф - https://medium.com/tsscyber/applocker-bypass-presentationhost-exe-8c87b2354cd4)
win_sdbinst_shim_persistence - ок
win_susp_exec_folder | win_susp_execution_path | win_susp_prog_location_process_starts | win_susp_ps_appdata |... - такое, но, в целом ок
win_susp_mmc_source - логика ок, реализация не ок. Почему детектится только cmd и нет того же PS?
Ну и т д.
Ещё раз оговорюсь, что как публичный контент - это очень круто. За это вам большое спасибо! )
Но если кто-то продает sigma rules, то очевидно, что он должен качественно доработать их.
К sigma у меня нет никаких претензий - очень крутая задумка и неплохая реализация. Я очень рад, что сейчас проект активно развивается и наполняется неплохими правилами (надеюсь, что в скором врмени появится возможность подключиться к нему и добавить своих знаний). Но не смотря на крутость проекта в целом, к правилам есть вопросы.
Например, свежая ветка "sigma/rules/windows/process_creation/", правила которые с апрувом от atc:
win_lethalhta - ок
win_possible_applocker_bypass - нет "presentationhost.exe" (пруф - https://medium.com/tsscyber/applocker-bypass-presentationhost-exe-8c87b2354cd4)
win_sdbinst_shim_persistence - ок
win_susp_exec_folder | win_susp_execution_path | win_susp_prog_location_process_starts | win_susp_ps_appdata |... - такое, но, в целом ок
win_susp_mmc_source - логика ок, реализация не ок. Почему детектится только cmd и нет того же PS?
Ну и т д.
Ещё раз оговорюсь, что как публичный контент - это очень круто. За это вам большое спасибо! )
Но если кто-то продает sigma rules, то очевидно, что он должен качественно доработать их.
IH
справедливости ради — у сокпрайма сигмовские правила в открытом доступе
e
- успешно детектировать конкретную угрозу/поведение в некотором контексте, с маппингом к некой модели угроз. на текущий момент это MITRE ATT&CK.
Мне очень нравится ATT&CK, но в чём ценность наличия маппинга с точки зрения оценки качества правила?
Т.е. как дополнительный второстепенный критерий, да, но если оно фолсит в оба направления, не конфигурируемо или требует невозможных ресурсов (корреляция, сквозной аудит), то наличие рюшечек не влияет ни на что
Мне очень нравится ATT&CK, но в чём ценность наличия маппинга с точки зрения оценки качества правила?
Т.е. как дополнительный второстепенный критерий, да, но если оно фолсит в оба направления, не конфигурируемо или требует невозможных ресурсов (корреляция, сквозной аудит), то наличие рюшечек не влияет ни на что
Критерий оценки про фолзовость был обозначен.
>> в чём ценность наличия маппинга с точки зрения оценки качества правила?
Наличие адекватного маппинга значительно повышает как понимание целостности покрытия модели угроз, так и помогает при разборе конкретного инцидента.
>> в чём ценность наличия маппинга с точки зрения оценки качества правила?
Наличие адекватного маппинга значительно повышает как понимание целостности покрытия модели угроз, так и помогает при разборе конкретного инцидента.