Z
Sergey
Все равно не понимаю, для собственных плейбуков можно написать правило корреляции в самом сием. Может быть я просто не понимаю что такое плейбук.
сценарий реагирования
Size: a a a
2019 December 11
Z
ну не удобно оно в мп сиеме, не удобно. мне нужно добавить 100500 пользователей с доступом только к тикетам
Z
поставил задачу. а дальше что..хз прикрепить файлы нельзя, с чем то связать для пробива того же айпи адреса по блэклистам нельзя. выгрузить ioc из инцидента нельзя
Z
сценариев для реагирования просто не написать, под каждый кейс свой сценарий
BB
Sergey
Все равно не понимаю, для собственных плейбуков можно написать правило корреляции в самом сием. Может быть я просто не понимаю что такое плейбук.
Для части сценариев нужно обогащение событий из других источников, банально хотя бы IP по репутации посмотреть / VT. Тут проще обогащать через Cortex, используя как прокладку между кортексом и макспатролом хайв, в котором инцидент открыт.
И вообще в целом рутину проще автоматизировать через что-то, что поддерживает не свой язык, меняющийся от версии к версии, а чето более стабильное, типа питона / go
И вообще в целом рутину проще автоматизировать через что-то, что поддерживает не свой язык, меняющийся от версии к версии, а чето более стабильное, типа питона / go
BB
сценариев для реагирования просто не написать, под каждый кейс свой сценарий
Почему? Типизировать (triage) инциденты не получилось?
Z
Почему? Типизировать (triage) инциденты не получилось?
вот тебе развернут сием) потом и поговорим
BB
вот тебе развернут сием) потом и поговорим
Развернули, ебусь (
Z
Развернули, ебусь (
велком))
S
ну не удобно оно в мп сиеме, не удобно. мне нужно добавить 100500 пользователей с доступом только к тикетам
Дааа, ситуация усложняется когда пытаешься построить сок, в котором помимо твоей организации ещё ряд других, для которых ты тупо не знаешь спецов по ит и иб, которым можно было бы отписать связку подозрительных инцидентов на аналитику. МП при постановке задачи даёт только ссылку на задачу в самой сием и все, мало этого, мало((( А у позитивов нет своего ирп?
Z
Sergey
Дааа, ситуация усложняется когда пытаешься построить сок, в котором помимо твоей организации ещё ряд других, для которых ты тупо не знаешь спецов по ит и иб, которым можно было бы отписать связку подозрительных инцидентов на аналитику. МП при постановке задачи даёт только ссылку на задачу в самой сием и все, мало этого, мало((( А у позитивов нет своего ирп?
нет)
R
Sergey
Дааа, ситуация усложняется когда пытаешься построить сок, в котором помимо твоей организации ещё ряд других, для которых ты тупо не знаешь спецов по ит и иб, которым можно было бы отписать связку подозрительных инцидентов на аналитику. МП при постановке задачи даёт только ссылку на задачу в самой сием и все, мало этого, мало((( А у позитивов нет своего ирп?
soc без irp?
S
Для части сценариев нужно обогащение событий из других источников, банально хотя бы IP по репутации посмотреть / VT. Тут проще обогащать через Cortex, используя как прокладку между кортексом и макспатролом хайв, в котором инцидент открыт.
И вообще в целом рутину проще автоматизировать через что-то, что поддерживает не свой язык, меняющийся от версии к версии, а чето более стабильное, типа питона / go
И вообще в целом рутину проще автоматизировать через что-то, что поддерживает не свой язык, меняющийся от версии к версии, а чето более стабильное, типа питона / go
Что такое кортекс?
$
soc без irp?
Хм... смотря что понимать под irp
S
soc без irp?
Да, мне тоже не смешно(((
R
Хм... смотря что понимать под irp
ну наверное главное response
DO
Вот кстати странная ситуация, ни PT ни RuSIEM не делают своих IRP. А это ведь логичное продолжение их продукта.
$
Sergey
Что такое кортекс?
Z
Sergey
Да, мне тоже не смешно(((
письмами инциденты отправляете)
$
ну наверное главное response
Хорошо. А если хватает экселя тупо для учета?