$
При котором минимальные требования должны соблюдаться, например av на хостах
Size: a a a
2020 February 11
$
По моему, расшифровка трафика это не обязательное условие для детектирования сетевых аномалий
Не обязательное, но мало кто умеет делать без расшифровки хорошо
$
Ребят, как правильно с точки зрения построения детектирования сетевых аномалий настроить SMB?
1. SMBv3 точно лучше v2
2. Весь трафик лучше подписывать
3. А вот шифрование получается нужно отключать чтобы можно было ловить сетевые аномалии внутри SMB? или есть вариант как-то дешефровать трафик на IPS?
1. SMBv3 точно лучше v2
2. Весь трафик лучше подписывать
3. А вот шифрование получается нужно отключать чтобы можно было ловить сетевые аномалии внутри SMB? или есть вариант как-то дешефровать трафик на IPS?
Шифрование можно не отключать, можно сертификаты подменять, правда ряд сервисов может не работать
JD
Шифрование можно не отключать, можно сертификаты подменять, правда ряд сервисов может не работать
сертификаты на SMB?
JD
Anton
Не понял. Вы выбираете версию софта не под задачи бизнеса, а под задачи иб?!
да, добро пожаловать в здоровую компанию.
$
Ещё ssl inspection в гугл
$
да, добро пожаловать в здоровую компанию.
Это до определенного уровня ;)
JD
вам видней
$
Тут Руслан больше расскажет
$
вам видней
Ну пока ты не мешаешь ИТ
JD
в каком вы страшном мире живете. Я ИТ ставлю задачи они их решают.
$
в каком вы страшном мире живете. Я ИТ ставлю задачи они их решают.
В обычной реальности :)
Но это уже флуд пошёл
Но это уже флуд пошёл
JD
кончаем флуд. (а я плавно и подвожу к тому что обычный мир адовый :) )
RI
Игорь (имхо) подсказал наиболее оптимальный способ. Все остальные или дороже, или более трудоёмкие
RI
В принципе, если есть анализ аномалий сетевого трафика (NTA типа нашего Stealthwatch) плюс анализ на хостах и правильная сегментация - расшифровывать именно сам smb смысла особого нет
RI
Если какая-то из сторон обмена контролируется слабо (например, удалённые хосты в филиалах) - тогда да, можно делать расшифровку, но проще сделать нормальный документооборот или порталы для этих файлов и использовать для их заливки http/https, ну и проверку на портале хоть антивирусом, хоть песочницей.
RI
Ну и размыкание контура происходит
JD
Ruslan Ivanov
В принципе, если есть анализ аномалий сетевого трафика (NTA типа нашего Stealthwatch) плюс анализ на хостах и правильная сегментация - расшифровывать именно сам smb смысла особого нет
ребят, я просто хотел увидить в трафике psexec (в смысле трафик выполнение, а не копирование psexec.exe)
HT
По моему, расшифровка трафика это не обязательное условие для детектирования сетевых аномалий
Полагаю имелись ввиду не аномалии вида «много трафика» и т.п., а детектирование всяких удаленных созданий задач планировщика, пайпы всяких кобальтов, psexec, crackmapexec и тп