NA
Прошу прощения, мои вопросы могут показаться тупыми. Я не имею прямого отношения к SOC, но этого направления касаюсь периодически :)
Size: a a a
2019 May 09
e
Если вы про ms docs и их рекомендации то там все довольно спорно с ними
Полюбому у ребят из SOC Prime есть хорошие рекомендации по настройке аудита на источниках =)
NA
А, так это твоя канистра с бензином тут стояла? Только ведь потухло все
NA
С известными паттернами атак - понятный подход. Что делать если мы сталкиваемся с ранее неизвесной заразой? И, да, я сам не сторонник собирать все, т.к. знаю что бывает при этом с самими источниками и SIEM-ами
NA
Вопрос скорее риторический... я над ним периодически думаю, но четкого ответа для себя так и не нашел.
A
Ну начинается :о)) 100500 попытка, давайте сделаем коммьюнити версию. 1)Я вообще не SOC. 2) Откуда вы знаете, что нужно собирать у нас? Сферический конь в вакууме, это теоретически хорошо. 3) Это конвейерная линия в поликлинике. "Мы всех вылечим, вот вам для начала аспирин и витамины"
e
Круто, чё. Очень хорошо, что вы нашли общие интересы с КиберВарДогом (за него всегда +).
Хорошей и продуктивной конфы вам)
Хорошей и продуктивной конфы вам)
A
Хотите кейс?
e
Alexey
Ну начинается :о)) 100500 попытка, давайте сделаем коммьюнити версию. 1)Я вообще не SOC. 2) Откуда вы знаете, что нужно собирать у нас? Сферический конь в вакууме, это теоретически хорошо. 3) Это конвейерная линия в поликлинике. "Мы всех вылечим, вот вам для начала аспирин и витамины"
Вы ATC смотрели? Что вас там не устраивает? )
e
Alexey
Ну начинается :о)) 100500 попытка, давайте сделаем коммьюнити версию. 1)Я вообще не SOC. 2) Откуда вы знаете, что нужно собирать у нас? Сферический конь в вакууме, это теоретически хорошо. 3) Это конвейерная линия в поликлинике. "Мы всех вылечим, вот вам для начала аспирин и витамины"
2) Проставили галочки по техникам => получили рекомендации по источникам. Изи)
e
Только техники нужно описать.
e
С известными паттернами атак - понятный подход. Что делать если мы сталкиваемся с ранее неизвесной заразой? И, да, я сам не сторонник собирать все, т.к. знаю что бывает при этом с самими источниками и SIEM-ами
Даниил сказал про TH и хантинг-дашборды в частности.
A
В бизнес-системе завелась заявка, посредством письма на ящик. С четко указанным scope и продуктом. Тот, кому эта заявка ДОЛЖНА была прилететь, уволился. Ее назначили другому, ручками. Была зафиксирована попытка "обращение" к какому-то сайту, при открытии заявки. Не Коннект, просто post запрос по https. Внимание, вопрос. Что это было и какие события не надо складывать в логи?
NA
Если для TH можно также составить какой-то минимально необходимый набор настроек аудита - это очень хорошо. У меня тогда только один вопрос : на основе каких принципов этот набор формируется?
rd
Отличные новости =)
A
Кто-то же спрашивал про таргетированная атаки :о))
NA
Ок, понял, спасибо! Тогда ждем презу 😊
e
Alexey
В бизнес-системе завелась заявка, посредством письма на ящик. С четко указанным scope и продуктом. Тот, кому эта заявка ДОЛЖНА была прилететь, уволился. Ее назначили другому, ручками. Была зафиксирована попытка "обращение" к какому-то сайту, при открытии заявки. Не Коннект, просто post запрос по https. Внимание, вопрос. Что это было и какие события не надо складывать в логи?
Странный кейс и вопрос. Обычный FP, который вполне можно даже автоматизированно исключать.