IV
Не нравится наши, пишите свои, для этого и выложили в свободный доступ editor и uncoder для перевода с сигмы на язык вашего сиема.
Size: a a a
2019 April 03
ДЮ
Подскажите, а ИП сложно организовать в Финляндии? Я тут в интернетах подчерпнул отличную идею для стартапа. Инфа проверенная, бизнес-модель рабочая
Хорошая попытка, но хоть Tieto и финская компания, я работаю в Чехии. задачка recon 100, у меня открыт профиль в линкдин (:
ДЮ
Хотя уже не 100, надо же блокировку обойти -_-
👾
Ребят, а каким софтом можно по сигма правилам трафик прогнать?
y
Igor Voloshin
Не нравится наши, пишите свои, для этого и выложили в свободный доступ editor и uncoder для перевода с сигмы на язык вашего сиема.
осталось только убедиться что вы не логируете правила детекшена которые к вам на портал заливают для конвертации)
y
не планируете выпустить в opensource ваш uncoder?
IV
Ребят, а каким софтом можно по сигма правилам трафик прогнать?
На портале у нас есть ред тесты
👾
Igor Voloshin
На портале у нас есть ред тесты
Ссылку можно? Я недавно тут (
IV
осталось только убедиться что вы не логируете правила детекшена которые к вам на портал заливают для конвертации)
Осталась убедиться, что гугл не читает наши письма) а если серьёзно, то мы соблюдаем авторские права и не храним эту информацию.
IV
Завтра уточню все технические моменты по этому вопросу
2019 April 04
JF
Каким дизассемблером удобнее пользоваться по вашему мнению для обычных CrackMe, без функции Анти-отладки: IDA Pro, Ghidra или OllyDBG ?
👾
По Олли много инфы. Возможно удобнее
JA
x64dbg
MC
Коллеги, а что для вас false positive с точки зрения классификации инцидента (алерта, кейса)? Какие критерии? Вот допустим, настроили мониторинг на rdp доступ к контроллеру домена с терминальных серверов. И вот он сработал, но оказалось, что был реально админ. Это FP или TP?
MK
Полагаю, если ваш кейс называется "рдп к контроллеру", то это ТП.
Если ваш кейс назывется "нелегитимный рдп к контроллеру", то это ФП
Если ваш кейс назывется "нелегитимный рдп к контроллеру", то это ФП
AA
Потому что по хорошему админ не напрямую должен ходить, а через pam/pum
DK
FP - автоматически принятое решение, которое потом пришлось отвергнуть. Соответственно, есть три варианта:
1. Вы ищите инциденты, такой доступ запрещен даже админу. Тогда это TP.
2. Вы ищите инциденты, такой доступ админу не запрещен. Тогда это FP.
3. Вы ищете события, характерные для известных атак и требующие реагирования. Тогда это TP (событие действительно подозрительное, и действительно требуется разобраться, какого фига происходит)
1. Вы ищите инциденты, такой доступ запрещен даже админу. Тогда это TP.
2. Вы ищите инциденты, такой доступ админу не запрещен. Тогда это FP.
3. Вы ищете события, характерные для известных атак и требующие реагирования. Тогда это TP (событие действительно подозрительное, и действительно требуется разобраться, какого фига происходит)
SB
Alex Alex
Потому что по хорошему админ не напрямую должен ходить, а через pam/pum
К слову о PAM, коллеги, не подскажете есть какие годные для small/medium бизнеса?
Хотелось бы внедрить, но что-то уровня CyberArk не по карману.
Хотелось бы внедрить, но что-то уровня CyberArk не по карману.
AA
По-хорошему все кривые