В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

SOС Технологии

1108 membersпожаловаться на группу
2019 March 31

AL

Alexey Lukatsky in SOС Технологии
Zer0way
не одного положительного отзыва о  ti.. зачем его тогда покупают?
Почему ни одного? Даже если мы говорим о фидах, то зависит от того, как с ними работать. У нас в службе ИБ несколько тысяч источников фидов, которые позволяют обнаруживать до 40%  всех инцидентов (именно за счет TI). Если бы мы работали с двумя-тремя источниками фидов, то да, была бы хрень полная
источник
15:39пожаловаться#1

AL

Alexey Lukatsky in SOС Технологии
Zer0way
ну и если оно фолсит, зачем оно нужно?
Эээээ, все фолсит. Разве что вредоносы десятиилетней давности можно со 100% вероятностью детектить
источник
15:40пожаловаться#2

Z

Zer0way in SOС Технологии
Alexey Lukatsky
Почему ни одного? Даже если мы говорим о фидах, то зависит от того, как с ними работать. У нас в службе ИБ несколько тысяч источников фидов, которые позволяют обнаруживать до 40%  всех инцидентов (именно за счет TI). Если бы мы работали с двумя-тремя источниками фидов, то да, была бы хрень полная
ну вот первый положительный;) это из серии "если вы не любите кошек, вы просто не умеете их готовить"
источник
15:43пожаловаться#3

AL

Alexey Lukatsky in SOС Технологии
Примерно так и есть. Это как спорить о том, полезны IDS или нет 😊 или антивирусы или SIEMы
источник
15:45пожаловаться#4

V

Valentin in SOС Технологии
Alexey Lukatsky
Почему ни одного? Даже если мы говорим о фидах, то зависит от того, как с ними работать. У нас в службе ИБ несколько тысяч источников фидов, которые позволяют обнаруживать до 40%  всех инцидентов (именно за счет TI). Если бы мы работали с двумя-тремя источниками фидов, то да, была бы хрень полная
а поделитесь техниками того, как вы проверяете фиды на false positive, если не сложно ?
источник
15:45пожаловаться#5

Z

Zer0way in SOС Технологии
Alexey Lukatsky
Примерно так и есть. Это как спорить о том, полезны IDS или нет 😊 или антивирусы или SIEMы
у вас, вы имеете ввиду cisco? используете бесплатные источники?
источник
15:46пожаловаться#6

e

e6e6e in SOС Технологии
Zer0way
ну и если оно фолсит, зачем оно нужно?
Правила корреляции то же фолзят. Вопрос качества, а не самого подхода.
Свой  ti полезен (даже необходим) и его удобно использовать. Относительно сторонних сервисов не готов аргументированно ответить.
источник
15:46пожаловаться#7

Z

Zer0way in SOС Технологии
e6e6e
Правила корреляции то же фолзят. Вопрос качества, а не самого подхода.
Свой  ti полезен (даже необходим) и его удобно использовать. Относительно сторонних сервисов не готов аргументированно ответить.
ох уж эти правила, у меня за выходные тысяч 40 инцидентов по 1 событию
источник
15:47пожаловаться#8

e

e6e6e in SOС Технологии
Zer0way
ох уж эти правила, у меня за выходные тысяч 40 инцидентов по 1 событию
Бывает))
источник
15:47пожаловаться#9

AL

Alexey Lukatsky in SOС Технологии
Valentin
а поделитесь техниками того, как вы проверяете фиды на false positive, если не сложно ?
Там сложное рейтингование, опирающееся на повтор данных фида в разных источника, уровень доверия к самому источнику и ряд других параметров. Под это дело даже писали платформу GOSINT (на GitHab выложена). Ну и НИР по ML сейчас мутим для отсеивания хороших и плохих фидов. Но в детали вдаваться не могу - не уполномочен
источник
15:48пожаловаться#10

AL

Alexey Lukatsky in SOС Технологии
Zer0way
у вас, вы имеете ввиду cisco? используете бесплатные источники?
Да. Мы разные используем, частные и публичные, платные и нет, коммерческие и государственные, свои и чужие
источник
15:49пожаловаться#11

VG

Viktor Gordeev in SOС Технологии
Лично знаю инженеров из SOC Prime. Все очень крутые спецы (но больше упор конечно на Arcsight).
Раньше (и наверно сейчас) можно зарегаться и бесплатно скачать 3 пакета корреляционных правил.
источник
16:50пожаловаться#12

VG

Viktor Gordeev in SOС Технологии
Еще у ребят помимо контента есть неплохой продукт по мониторингу работоспособности SIEM)
источник
16:53пожаловаться#13

ДЮ

Даниил Югославский in SOС Технологии
Крутые спецы по арксайту?
источник
17:28пожаловаться#14

VG

Viktor Gordeev in SOС Технологии
Даниил Югославский
Крутые спецы по арксайту?
Ага. И я уверен что отличное знание продукта позволяет им писать качественный контент
источник
17:31пожаловаться#15

e

e6e6e in SOС Технологии
Viktor Gordeev
Лично знаю инженеров из SOC Prime. Все очень крутые спецы (но больше упор конечно на Arcsight).
Раньше (и наверно сейчас) можно зарегаться и бесплатно скачать 3 пакета корреляционных правил.
На сколько я знаю, там есть русскоговорящие спецы - может пригласите их в чат?
источник
17:59пожаловаться#16

VG

Viktor Gordeev in SOС Технологии
e6e6e
На сколько я знаю, там есть русскоговорящие спецы - может пригласите их в чат?
Почти все)))
источник
18:03пожаловаться#17

e

e6e6e in SOС Технологии
Elijah Duboff
Коллеги, всем привет! А кто использовал для своих нужд SOC Prime? Интересует стоит ли овчинка выделки? И задачи, для которых использовали у себя
Igor Добрый день!
Наверное, вам нужно ознакомиться с перепиской, которая ниже выделенного сообщения.
источник
18:07пожаловаться#18

ДЮ

Даниил Югославский in SOС Технологии
Viktor Gordeev
Ага. И я уверен что отличное знание продукта позволяет им писать качественный контент
Знание какого-либо siem не имеет никакого отношения к разработке правил обнаружения/логики детекшена. Для этого нужен другой скиллсет
источник
18:52пожаловаться#19

NA

Nikolai Arefiev in SOС Технологии
Даниил Югославский
Знание какого-либо siem не имеет никакого отношения к разработке правил обнаружения/логики детекшена. Для этого нужен другой скиллсет
источник
18:56пожаловаться#20