NA
Таких единицы. За 5 лет работы в топовом интеграторе таких заказчиков видел очень мало.
Size: a a a
2019 April 20
NA
Но это было 4 года назад :) вдруг все поменялось в лучшую сторону
NA
Финансовый и политический фактор, как правило, превалирует над экспертным.
VG
По уровню понимания технологии siem, и особенности процессов их имплементации наши интеграторы ооочень разные .
Другое дело вендор, который для пилотов заставляет интеграторов купить у них сервера с MaxPatrol
AP
Интегратор должен делать то, о чем договорился с заказчиком и то за что заказчик готов платить :)
Нет. Интегратор должен делать как надо. Вы пойдете к врачу, который назначит лечение не то, которое должен, а которое Вы сами предложите? 😊
e
вощем, пообщался с товарищами из soc prime.
разговор был с сейлом Андреем Вдовиным и неким технарём Сергеем, фамилии, к сожалению, не запомнил.
я заранее попросил Андрея подключить технаря к толку, иначе разговор был бы лишен смысла.
да, парни из Украины. это вообще тоже можно было легко нагуглить, но не особо хотелось.
краткий пересказ:
- мы крутые и круто мапим данные
- купите наши правила
ценник:
- начиная от 8к бачинских (или евро?) за некие ключи которыми можно открывать доступ к аналитическим данным
- постепенно нарастающий ценник пляшуший от количества ключей
- заканчивается все 70к USD/EUR за доступ ко всему контенту
занятные факты:
- то ли они впрыжке переобулись, поправив их аргументацию в соответствии с недавним срачем в данном чатике (допускаю), то ли что, но они открестились от 30к правил и сказали что у них их всего 400 плюс есть некие ПАКИ (ну типо наборы с правилами + дашбордами + репортами под конкретные системы). Ну, понятно дело что остальные 29600 правил как раз в этих паках ))
- сказали что 80% их контента это опенсорс. тут я совсем растерялся, но допытывать не стал.
- выяснилось (ну это наверное был не секрет) что "их" "РЕД ТИМ ТЕСТЫ" это тесты проекта Atomic Red Team. Невероятно свежая, крутая и актуальная идея — мапить правила Sigma с Atomic Red Team тестами в привязке к MITRE ATT&CK. Говорят что реализовали 3 недели назад. Я спросил слышали ли про Atomic Threat Coverage, сказали что нет, подумав что это такая система мониторинга %) ну допустим. все может быть.
ключевой момент:
пацанчики даже не задавались вопросом "покрытия" угроз.
казалось бы — работают с MITRE ATT&CK на протяжении нескольких лет, и вроде как где-то реализуют, но на основной вопрос который каждый себе задает они не то что не отвечают, они даже перед собой его не ставили.
чо там, какие правила, какие контроли — да пофиг. давайте мы вам еще правил продадим. а потом еще.
как определить что у меня более-менее все возможные варианты детекшена для конкретной техники реализованы?
или может не реализованы и нужно покупать еще?
а вот если не реализованы, то как мне понять какие именно правила/паки покупать у вас?
да зафиг вам это надо?! у нас нет такого описания, и чот никто раньше не спрашивал. (лол. вы сами должны были об этом задуматься)
ну вообще, можете обратиться в саппорт.
а лучше просто купите правила, тогда точно будет лучше чем сейчас!
подытожим:
как бизнес — они крутые.
заказчиков без экспертизы на рынке действительно дофига, так что финансовый успех практически гарантирован.
для людей же с экспертизой их донность чувствуется за километр.
но вообще, есть множество шансов для позитивных изменений.
надо только того василия, который все это дело драйвит со своим "глубоким пониманием рынка и умным виженом", пару раз приложить табуреткой.
а то он похоже только заголовки методологий читает, пропуская самое главное.
разговор был с сейлом Андреем Вдовиным и неким технарём Сергеем, фамилии, к сожалению, не запомнил.
я заранее попросил Андрея подключить технаря к толку, иначе разговор был бы лишен смысла.
да, парни из Украины. это вообще тоже можно было легко нагуглить, но не особо хотелось.
краткий пересказ:
- мы крутые и круто мапим данные
- купите наши правила
ценник:
- начиная от 8к бачинских (или евро?) за некие ключи которыми можно открывать доступ к аналитическим данным
- постепенно нарастающий ценник пляшуший от количества ключей
- заканчивается все 70к USD/EUR за доступ ко всему контенту
занятные факты:
- то ли они впрыжке переобулись, поправив их аргументацию в соответствии с недавним срачем в данном чатике (допускаю), то ли что, но они открестились от 30к правил и сказали что у них их всего 400 плюс есть некие ПАКИ (ну типо наборы с правилами + дашбордами + репортами под конкретные системы). Ну, понятно дело что остальные 29600 правил как раз в этих паках ))
- сказали что 80% их контента это опенсорс. тут я совсем растерялся, но допытывать не стал.
- выяснилось (ну это наверное был не секрет) что "их" "РЕД ТИМ ТЕСТЫ" это тесты проекта Atomic Red Team. Невероятно свежая, крутая и актуальная идея — мапить правила Sigma с Atomic Red Team тестами в привязке к MITRE ATT&CK. Говорят что реализовали 3 недели назад. Я спросил слышали ли про Atomic Threat Coverage, сказали что нет, подумав что это такая система мониторинга %) ну допустим. все может быть.
ключевой момент:
пацанчики даже не задавались вопросом "покрытия" угроз.
казалось бы — работают с MITRE ATT&CK на протяжении нескольких лет, и вроде как где-то реализуют, но на основной вопрос который каждый себе задает они не то что не отвечают, они даже перед собой его не ставили.
чо там, какие правила, какие контроли — да пофиг. давайте мы вам еще правил продадим. а потом еще.
как определить что у меня более-менее все возможные варианты детекшена для конкретной техники реализованы?
или может не реализованы и нужно покупать еще?
а вот если не реализованы, то как мне понять какие именно правила/паки покупать у вас?
да зафиг вам это надо?! у нас нет такого описания, и чот никто раньше не спрашивал. (лол. вы сами должны были об этом задуматься)
ну вообще, можете обратиться в саппорт.
а лучше просто купите правила, тогда точно будет лучше чем сейчас!
подытожим:
как бизнес — они крутые.
заказчиков без экспертизы на рынке действительно дофига, так что финансовый успех практически гарантирован.
для людей же с экспертизой их донность чувствуется за километр.
но вообще, есть множество шансов для позитивных изменений.
надо только того василия, который все это дело драйвит со своим "глубоким пониманием рынка и умным виженом", пару раз приложить табуреткой.
а то он похоже только заголовки методологий читает, пропуская самое главное.
Так они будут продвигать ATC или нет? )
Сами правила дали/дадут посмотреть или совсем не интересно?
Сами правила дали/дадут посмотреть или совсем не интересно?
NA
Другое дело вендор, который для пилотов заставляет интеграторов купить у них сервера с MaxPatrol
С экспертной точки зрения (это, вроде, чатик не про MP,) я не одобряю такой подход. С экономической - он вполне оправдан. В бизнесе нет альтруистов.
R
Andrei Potseluev
Нет. Интегратор должен делать как надо. Вы пойдете к врачу, который назначит лечение не то, которое должен, а которое Вы сами предложите? 😊
Поход к врачу - плохая аналогия. Деятельность врача регулируется множеством ЛНА минздрава, у интеграторов даже СРО нет. И альтруистов в бизнесе нет, но должно быть понимание, что хорошо исполненный проект это всё-таки плюс к имиджу компании, влияющий на будущие контракты. Мне думается, если интегратор видит критическую некомпетентность заказчика, то в интересах интегратора - предложить лучшее решение и найти баланс между затратами ресурсов интегратора, стоимостью проекта и его качеством
AP
Я про это и писал. Интегратор должен сказать как надо, донести до заказчика все риски ухода от предлагаемого решения. Ну а дальше уже по ситуации. Но не наоборот, как некоторые, типа заказчик сказал что у него только 500000, вот мы и состряпали что попало на 500000. :-)
v
Другое дело вендор, который для пилотов заставляет интеграторов купить у них сервера с MaxPatrol
А это тут причём?
У вендора сотни пилотов в год, есть свой парк пилотных серверов и их постоянно не хватает, есть интеграторы которые желают иметь партнёрские соглашения с этим вендором. Что плохого в этом?
честно говоря этот наезд не понял
Но переписка сегодня прям огонь . Жаль только что обсуждение митра и Прайма куда-то уехало
У вендора сотни пилотов в год, есть свой парк пилотных серверов и их постоянно не хватает, есть интеграторы которые желают иметь партнёрские соглашения с этим вендором. Что плохого в этом?
честно говоря этот наезд не понял
Но переписка сегодня прям огонь . Жаль только что обсуждение митра и Прайма куда-то уехало
G
Моя учеба по сиему кончилась на том как завести активы и как фильтровать события
А что не поговорить, я выслушаю, с удовольствием или м горечью - это уж мое дело, лишь бы на пользу пошло. А то дашь вам анкету - вы её никогда толком не заполните. Если обратная связь возможна только в телеге - дайте ее здесь. У нас, если что, два курса учебных. По описанию вашему я узнаю что вы стали жертвой первого, а второй прошёл мимо вас. Так второй задокументирован полностью и в записях доступен, так что мне неясно что вы говорите о деньгах. Я знаю людей, которые сдали экзамен-лабораторку вообще не ходя на курсы, только по опубликованным записям.
Z
Gullible Beaver
А что не поговорить, я выслушаю, с удовольствием или м горечью - это уж мое дело, лишь бы на пользу пошло. А то дашь вам анкету - вы её никогда толком не заполните. Если обратная связь возможна только в телеге - дайте ее здесь. У нас, если что, два курса учебных. По описанию вашему я узнаю что вы стали жертвой первого, а второй прошёл мимо вас. Так второй задокументирован полностью и в записях доступен, так что мне неясно что вы говорите о деньгах. Я знаю людей, которые сдали экзамен-лабораторку вообще не ходя на курсы, только по опубликованным записям.
Я уже все сказал человеку с татарским именем
AP
Я уже все сказал человеку с татарским именем
Человек с татарским именем администратор SIEM и, насколько мне известно, к обучению отношения не имеет вообще, так что зря Вы так. 😊
Z
Andrei Potseluev
Человек с татарским именем администратор SIEM и, насколько мне известно, к обучению отношения не имеет вообще, так что зря Вы так. 😊
А мы с ним разные темы обсуждаем:)
e
Andrei Potseluev
Человек с татарским именем администратор SIEM и, насколько мне известно, к обучению отношения не имеет вообще, так что зря Вы так. 😊
Давайте внесу ясность:
* я обычный пользователь продукта.
* по обучению - ув. zer0way прошел только один курс (SC), это инженерный курс (в процессе которого ещё и случился факап с арендованной вирт инфрой). В рамках второго инженерного курса (CP) рассказывается про весь контент MP SIEM и как его писать самостоятельно + лабораторная работа. Изучить его будет не лишним, если вам интересен MP SIEM.
* я обычный пользователь продукта.
* по обучению - ув. zer0way прошел только один курс (SC), это инженерный курс (в процессе которого ещё и случился факап с арендованной вирт инфрой). В рамках второго инженерного курса (CP) рассказывается про весь контент MP SIEM и как его писать самостоятельно + лабораторная работа. Изучить его будет не лишним, если вам интересен MP SIEM.
VG
@zer0_way лол. Учи мат.часть
e
@zer0_way лол. Учи мат.часть
Всем бы не помешало. В том числе и мне)
Z
@zer0_way лол. Учи мат.часть
Уже..
KM
CP намного лучше CS. Имхо) по контенту и полезности. Можно было бы растянуть на три дня, например)
На CS и по гайдам можно сдать
На CS и по гайдам можно сдать
v
Снова тут засилье обсуждения MaxPatrol SIEM. Вы ведь знаете про профильный тред?