Доводили до 3-4 к, но не полная нагрузка.
Часть систем была переключена полностью.

А почему в кавычках? 😊
За счет инцидентов из коробки, пришлось пришлось сразу настраивать dns, ntp, smtp сервера ...Иначе по правилам FW много инцов было.
Но справочников там не было. Может починили.

В кавычках, т.к. оценка качества правил - еще то упражнение. Недавно даже писал об этом статейку. Теперь агрюсь на словосочетание "хорошие правила корреляции" :) и пытаюсь понять кто и что в это вкладывает.

Соглашусь.
Дело в том, что на этапе пилота, получить сразу правила для не получится!
Но минум необходим все равно.
Правила корреляции можно писать - проблема.
Проблема только, если у вас территориально распределенная система. И нужно завести справочник удаленных офисов.
В ELK делали через  destination/dictionary_path

Большой фотик с телевиком снимет нормально экран монитора с конфиденциальной информацией и из соседнего дома)) ну, на крайняк и с порога комнаты))
Не стали долго думать: соглашение о нераспространении, телефоны на в ходе в ящики, рамка, зеркальная пленка на окна, остальные возможности снятия конфиденциальной информации закрыли через DLP. Плюс надбавка. Всем норм)

Телефон можно и через забор перекинуть, и в форточку передать.

Дроном

И как в спец местах бегает человек с антенной и палит кто мобилки включает

Лояльные в этом чатике админы, лояльные... 😂 Либо у @vbengin хорошее настроение. 😊

Просто Отходняк от phd. Но все же да! Призываю прекращать флейм по тому как можно обнаружить съёмку экрана. Тема была интересная и весёлая первые пару десятков постов, но на данный момент мне кажется она себя исчерпала чуть более чем полностью.

Дрожание мышки, камера в пуговице, дроны, телевик в соседнем доме, записная книжка, забрасывание телефона в форточку через забор чтоб на входе не отобрали....

В общем мне кажется уже достаточно  :)

Один раз выскажусь? Попытки решать нетехнические проблемы техническими методами, признак непрофессионализма.

Как тут лайк поставить под этой фразой :)

Так вся ИБ такая. Ловить хакеров, желающих заработать, или тупых пользователей с помощью SIEM, - это признак чего?

Наверно, начитанности ?

Скорее читерства

однокоренные слова 😊

Всем привет! Кто-нибудь сравнивало решения threat intelligence для обмена iocs, такие как Ibm x-force, yeti, MISP? На первый взгляд MISP наиболее известен, но код старый и поддержки почти нет.

Вы применять это как хотите? Просто фиды грести для себя или именно что обмен с кем-то? Если с кем-то, то проще ставить ту платформу, что у тех, с кем обмениваться планируете.
(MISP, кстати, вполне себе норм обновляется и поддерживается)

Да никаких проблем с поддержкой и развитием MISP нет, там команда занимается этим фулл тайм

Поддерживаю. Даже запросы на доп функционал делают