В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

SOС Технологии

1108 membersпожаловаться на группу
2019 April 15

r

rustam in SOС Технологии
Коллеги, нам тут Digital Shadows Threat Intelligence предлагают. Хотел начать с интеграции со Splunk ES. Годный источник? Пугает, что приложение для Splunk имеет версию 1.0.0, а значит либо его написали идеально, либо не исправляют замечания или не используют.
источник
11:53пожаловаться#1

A

Aleksandr in SOС Технологии
Реально ли частично мониторить API вызовы Windows в реальном времени? Многие техники Mitre подразумевают это для детекшена, но нигде не сталкивался с тем, чтобы кто-то делал такие действия цнтрализованно на большой инфре
источник
15:59пожаловаться#2

y

yugoslavskiy in SOС Технологии
когда в сисмон впилят такую функциональность будем смотреть
источник
16:00пожаловаться#3

y

yugoslavskiy in SOС Технологии
пацаны уже сто лет запрашивают
источник
16:00пожаловаться#4

A

Aleksandr in SOС Технологии
быстрый гуглеж показывает, что отдельные утилиты с текстовыми логами есть и сейчас, только вот думается, что масштабировать это невозможно из за высокой нагрузки на систему конечную, так как в описании нигде не видел селективности
источник
16:01пожаловаться#5

A

Aleksandr in SOС Технологии
а если более глобально ставить вопрос - есть какие-то попытки оценить эффективность митигейшена\детекта в рамках митровской матрицы? понятно, что это все в вакууме, но даже на текущем уровне вербальные описания позволяют это прикинуть. Числовую бы оценку для приоритезации найти, или какие-то иные варианты решения задачи. Свой велосипед изобретать полезно, но...
источник
16:08пожаловаться#6

y

yugoslavskiy in SOС Технологии
что вы подразумеваете под эффективностью митигейшена/детекшена? в самой вики у MITRE ATT&CK все довольно поверхностно
источник
16:10пожаловаться#7

АМ

Алексей Мухин in SOС Технологии
Aleksandr
а если более глобально ставить вопрос - есть какие-то попытки оценить эффективность митигейшена\детекта в рамках митровской матрицы? понятно, что это все в вакууме, но даже на текущем уровне вербальные описания позволяют это прикинуть. Числовую бы оценку для приоритезации найти, или какие-то иные варианты решения задачи. Свой велосипед изобретать полезно, но...
Оценка тактик от красной канарейки, гляньте возможно это то что ищите https://resources.redcanary.com/hubfs/ThreatDetectionReport-2019.pdf?utm_campaign=ATT%26CK%20Report%202019%20-%20Report%20-%20NC%20-%202019&utm_source=hs_automation&utm_medium=email&utm_content=70541412&_hsenc=p2ANqtz-8JKU-ujaEbcgWzi7tXjIhBzGw7Dp0u_SXckN_AwbkWniFSRl3UGHLfLSvTWlGq-nz5bKKgjaO72Yv8elrzwC8rBp80SO8q4YJlGwVh_zJSS6xsS_g&_hsmi=70541412
источник
16:11пожаловаться#8

A

Aleksandr in SOС Технологии
ну например, если к какой-то технике сложно применить митигейшен, поскольку ее использует почти каждое легитимное приложение, то это 0-10% возможности митигейшена, а если какая-то техника - наследие совместимости\не блочится коробочной политикой, но может быть заблочена с низкой вероятостью ущерба для функционирования инфры, то 100-90%
источник
16:12пожаловаться#9

A

Aleksandr in SOС Технологии
ну и т.д.
источник
16:12пожаловаться#10

A

Aleksandr in SOС Технологии
Алексей Мухин
Оценка тактик от красной канарейки, гляньте возможно это то что ищите https://resources.redcanary.com/hubfs/ThreatDetectionReport-2019.pdf?utm_campaign=ATT%26CK%20Report%202019%20-%20Report%20-%20NC%20-%202019&utm_source=hs_automation&utm_medium=email&utm_content=70541412&_hsenc=p2ANqtz-8JKU-ujaEbcgWzi7tXjIhBzGw7Dp0u_SXckN_AwbkWniFSRl3UGHLfLSvTWlGq-nz5bKKgjaO72Yv8elrzwC8rBp80SO8q4YJlGwVh_zJSS6xsS_g&_hsmi=70541412
спасибо, посомтрю
источник
16:13пожаловаться#11

y

yugoslavskiy in SOС Технологии
Алексей Мухин
Оценка тактик от красной канарейки, гляньте возможно это то что ищите https://resources.redcanary.com/hubfs/ThreatDetectionReport-2019.pdf?utm_campaign=ATT%26CK%20Report%202019%20-%20Report%20-%20NC%20-%202019&utm_source=hs_automation&utm_medium=email&utm_content=70541412&_hsenc=p2ANqtz-8JKU-ujaEbcgWzi7tXjIhBzGw7Dp0u_SXckN_AwbkWniFSRl3UGHLfLSvTWlGq-nz5bKKgjaO72Yv8elrzwC8rBp80SO8q4YJlGwVh_zJSS6xsS_g&_hsmi=70541412
это не оценка тактик, а их отчет по детекшену техник на их датасете
источник
16:13пожаловаться#12

A

Aleksandr in SOС Технологии
да, тоже интересно, но я скорее немного о другом
источник
16:15пожаловаться#13

y

yugoslavskiy in SOС Технологии
если я правильно понял, ваш вопрос относится к задаче по определению "покрытия" техник.
вам нужно понимать что делать и какой путь оптимален (с позиции денег, ресурсов) — заблокировать возможность использования техники (митигейшн) или все же работать с логами, заниматься мониторингом и реагированием.

это большой вопрос и MITRE ни в каком виде на него не отвечает. И пока не отвечает никто
источник
16:18пожаловаться#14

A

Aleksandr in SOС Технологии
да, правильно
источник
16:21пожаловаться#15

A

Aleksandr in SOС Технологии
для начала хотя бы перевечти вербальное описание возможностей в некую оценку, которая бы отражала хотя бы чисто техниескую возможность в рамках разумных рессурсов
источник
16:21пожаловаться#16

A

Aleksandr in SOС Технологии
10 человек вайтлисты писать посадить, чтобы конкретный митигейт\детект не фолсил конечно можно, но никто не будет
источник
16:22пожаловаться#17

A

Aleksandr in SOС Технологии
а проранжированое таким образом уже оценивать в порядке приоритета с точки зрения рессурсов\денег
источник
16:23пожаловаться#18

A

Aleksandr in SOС Технологии
вот поэтому пока и пишу велосипед сам под себя, думал, может кто поумнее уже сделал
источник
16:24пожаловаться#19

A

Aleksandr in SOС Технологии
🙏 спасибо
источник
16:25пожаловаться#20