A
Ну этож майкрософт, почему там не должно все быть через жепу?
Size: a a a
2019 April 05
AI
AI
Микрософт - это вообще лучшее, что произошло в IT за всю историю
S
Я никогда не понимал этого Microsoft подхода. Почему мониторинг подозрительной активности (impossible travel) - это в одном месте https://portal.cloudappsecurity.com
А мониторинг спама и вирусов - это в другом месте https://protection.office.com
Если теперь они сделают SIEM, который не будет включать в себя 1 и 2, то появится просто третье место, где администратор Office365 должен будет работать.
Если я правильно помню, то у Azure тоже до сих пор две админки, старая и другая :) .
А мониторинг спама и вирусов - это в другом месте https://protection.office.com
Если теперь они сделают SIEM, который не будет включать в себя 1 и 2, то появится просто третье место, где администратор Office365 должен будет работать.
Если я правильно помню, то у Azure тоже до сих пор две админки, старая и другая :) .
А какого рода информация в мониторинге подозрительной активности?
Мне кажется, что фильтрация спама, настройка правил и т.п. вещи для почты - отдельная активность. Там куча фолсов, куча нюансов. Если на спам только смотреть, то толку не очень много, с ним надо бороться.
Мне кажется, что фильтрация спама, настройка правил и т.п. вещи для почты - отдельная активность. Там куча фолсов, куча нюансов. Если на спам только смотреть, то толку не очень много, с ним надо бороться.
r
я логику решения просто хочу понять, почему схожая функциональность разводится по совершенно разным консолям:)
RS
потому что делается другой командой
закон Конвея, вот это вот всё
закон Конвея, вот это вот всё
r
А какого рода информация в мониторинге подозрительной активности?
Мне кажется, что фильтрация спама, настройка правил и т.п. вещи для почты - отдельная активность. Там куча фолсов, куча нюансов. Если на спам только смотреть, то толку не очень много, с ним надо бороться.
Мне кажется, что фильтрация спама, настройка правил и т.п. вещи для почты - отдельная активность. Там куча фолсов, куча нюансов. Если на спам только смотреть, то толку не очень много, с ним надо бороться.
Impossible travel
Activity from infrequent country
Activity from anonymous IP addresses
Activity from suspicious IP addresses
Unusual activities (by user)
Multiple failed login attempts
Activity from infrequent country
Activity from anonymous IP addresses
Activity from suspicious IP addresses
Unusual activities (by user)
Multiple failed login attempts
V
я логику решения просто хочу понять, почему схожая функциональность разводится по совершенно разным консолям:)
Чтобы было удобно. Чтобы можно было заплатить только за то, что тебе нужно. Так говорят.
F
1) Cyber Ark
2) Balabit (from One Identity)
4) no matter
2) Balabit (from One Identity)
4) no matter
r
Чтобы было удобно. Чтобы можно было заплатить только за то, что тебе нужно. Так говорят.
ок, это фиговое объяснение, но я придираюсь. Сейчас GSuite к Splunk подключаю, там тоже та еще хрень в логах и методах сбора:)
AL
Impossible travel
Activity from infrequent country
Activity from anonymous IP addresses
Activity from suspicious IP addresses
Unusual activities (by user)
Multiple failed login attempts
Activity from infrequent country
Activity from anonymous IP addresses
Activity from suspicious IP addresses
Unusual activities (by user)
Multiple failed login attempts
Это функциональность CASB
r
Alexey Lukatsky
Это функциональность CASB
Это мешает сделать эти отчёты как дополнительную вкладку в protection.office.com? в вашей статье про SOC были размышления о максимальном количестве мониторов для аналитика. ИМХО, это из той же серии
r
AL
Это мешает сделать эти отчёты как дополнительную вкладку в protection.office.com? в вашей статье про SOC были размышления о максимальном количестве мониторов для аналитика. ИМХО, это из той же серии
Protection - это защита от спама. Другой продукт, другая команда. CASB - еще один. И т.д. В крупных компаниях, особенно часто поглощающих мелких игроков (а облачная ИБ MS как раз из этой серии - они кучу израильтян поглотили) это разные продукты; пусть и с одним названием. Не надо считать, что одна компания - это один департамент разработки. Поэтому и консоли разные. Поэтому рынок SOAR и развивается
r
Охотно верю, но имею право быть таким подходом недовольным:) и дёргаться от таких новостей:
Introducing the new Microsoft 365 security center (security.microsoft.com) and Microsoft 365 compliance center (compliance.microsoft.com).
еще 2 ссылки:)
Introducing the new Microsoft 365 security center (security.microsoft.com) and Microsoft 365 compliance center (compliance.microsoft.com).
еще 2 ссылки:)
e
чего сразу говноделов-то %) может там 30к правил из чистого золота. лучшие эксперты, имен которых мы не знаем. у меня фактов о качестве нет, только анализ того что на поверхности и предположения на его основе.
давайте все же подытожим:
- ололо они чо пишут правила корреляции для сием зашивая туда хеши, ip адреса и домены?
- лол. так, призывается Игорь
- хаха, все немного иначе, ребят) мы используем сигму ) и у нас на самом деле много своих правил)))1)11
- так откуда 30к правил-то?
- ..........
давайте все же подытожим:
- ололо они чо пишут правила корреляции для сием зашивая туда хеши, ip адреса и домены?
- лол. так, призывается Игорь
- хаха, все немного иначе, ребят) мы используем сигму ) и у нас на самом деле много своих правил)))1)11
- так откуда 30к правил-то?
- ..........
При этом тут есть ребята, которые говорят, что покупали доступ к правилам и они НЕ ок. В схожих спорах на различных площадках слишком часто всё заканчивается просто перепиской даже без указания каких-то адекватных аргументов.
Я вот что предлагаю (т к чатик называется "SOС Технологии"/phd_soc) - на ближайшем PHDays в очередной раз будет проводиться соревнование StandOff/Противостояние. Сейчас там укомплектованы атакующие, а вот податься как СОК, вроде, можно. Орг подробности можно спросить у @melevin.
КМК, это отличный вариант прийти туда своим SOC-ом/MSSP/MDR и показать свою крутость, так сказать "подвезти пруфов". Я с командой там, конечно, буду участвовать)
Я вот что предлагаю (т к чатик называется "SOС Технологии"/phd_soc) - на ближайшем PHDays в очередной раз будет проводиться соревнование StandOff/Противостояние. Сейчас там укомплектованы атакующие, а вот податься как СОК, вроде, можно. Орг подробности можно спросить у @melevin.
КМК, это отличный вариант прийти туда своим SOC-ом/MSSP/MDR и показать свою крутость, так сказать "подвезти пруфов". Я с командой там, конечно, буду участвовать)
B
При этом тут есть ребята, которые говорят, что покупали доступ к правилам и они НЕ ок. В схожих спорах на различных площадках слишком часто всё заканчивается просто перепиской даже без указания каких-то адекватных аргументов.
Я вот что предлагаю (т к чатик называется "SOС Технологии"/phd_soc) - на ближайшем PHDays в очередной раз будет проводиться соревнование StandOff/Противостояние. Сейчас там укомплектованы атакующие, а вот податься как СОК, вроде, можно. Орг подробности можно спросить у @melevin.
КМК, это отличный вариант прийти туда своим SOC-ом/MSSP/MDR и показать свою крутость, так сказать "подвезти пруфов". Я с командой там, конечно, буду участвовать)
Я вот что предлагаю (т к чатик называется "SOС Технологии"/phd_soc) - на ближайшем PHDays в очередной раз будет проводиться соревнование StandOff/Противостояние. Сейчас там укомплектованы атакующие, а вот податься как СОК, вроде, можно. Орг подробности можно спросить у @melevin.
КМК, это отличный вариант прийти туда своим SOC-ом/MSSP/MDR и показать свою крутость, так сказать "подвезти пруфов". Я с командой там, конечно, буду участвовать)
А Вы ранее участвовали?
e
А Вы ранее участвовали?
"Наблюдал"
B
Я участвовал
e
Я участвовал
Круто. Поделитесь впечатлениями? Или может есть отчет?