В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

SOС Технологии

1123 membersпожаловаться на группу
2020 May 14

i

ilya in SOС Технологии
yugoslavskiy
поцоны подскажите пожалуйста через кого кто закупает tenable?

пока нашлись вот эти ребята:

-группа компаний "Вета": http://www.weta.ru/about-advantage.php
- системный софт:  https://www.syssoft.ru/

мне бы пообщаться по поводу статуса реселлера tenable.io
Приветствую! Тайгер Оптикс (мы) — дистрибьютор Tenable в России.

Буду рад помочь по вопросам
io@tiger-optics.ru
источник
15:08пожаловаться#1

DR

Dmitriy Roschenko in SOС Технологии
Подскажите кто нибудь пробовал FortiSOAR?
источник
16:30пожаловаться#2

P

Pavlo in SOС Технологии
огромного опыта не было....ранее это был продукт CyberSponse (индусы), а в конце прошлого года фортик их выкупил...интеграций (коннекторов) с другими системами/устройствами/платформами достаточное количество...что-то конкретное интересует?
источник
16:47пожаловаться#3
2020 May 15

m

mad3e7cat in SOС Технологии
Привет, хотелось бы услышать разные мнения. Есть два стула:
1. Определить для себя скоуп данных, по которым хотелось бы искать в siem и дорабатывать по своему усмотрению этот список, добавляя новые источники информации. Тут я вижу проблему в том, что в случае возникновения новых типов атак или изменения профиля старых у нас будут слепые пятна.
2. Собираем все, что можем и потом уже занимаемся исключением по тому, что сочтем ненужным. Мне интуитивно кажется, что в таком случае мы имеем меньше слепых пятен, так как даже предполагая, что какой-то источник информации нам нужен и не убирая его, даже "на всякий случай", повышаем шансы заметить определенную атаку.
источник
18:42пожаловаться#4

NA

Nikolai Arefiev in SOС Технологии
Этот вопрос тут поднимается уже 3 раз :)
источник
18:44пожаловаться#5

NA

Nikolai Arefiev in SOС Технологии
@yugoslavskiy Не хочешь на этот счет сделать заметку или статью?
источник
18:45пожаловаться#6

NA

Nikolai Arefiev in SOС Технологии
mad3e7cat
Привет, хотелось бы услышать разные мнения. Есть два стула:
1. Определить для себя скоуп данных, по которым хотелось бы искать в siem и дорабатывать по своему усмотрению этот список, добавляя новые источники информации. Тут я вижу проблему в том, что в случае возникновения новых типов атак или изменения профиля старых у нас будут слепые пятна.
2. Собираем все, что можем и потом уже занимаемся исключением по тому, что сочтем ненужным. Мне интуитивно кажется, что в таком случае мы имеем меньше слепых пятен, так как даже предполагая, что какой-то источник информации нам нужен и не убирая его, даже "на всякий случай", повышаем шансы заметить определенную атаку.
Загляните к ребятам в проект https://github.com/atc-project/atomic-threat-coverage
GitHub
atc-project/atomic-threat-coverage
Actionable analytics designed to combat threats based on MITRE's ATT&CK. - atc-project/atomic-threat-coverage
источник
18:49пожаловаться#7

Z

Zer🦠way in SOС Технологии
mad3e7cat
Привет, хотелось бы услышать разные мнения. Есть два стула:
1. Определить для себя скоуп данных, по которым хотелось бы искать в siem и дорабатывать по своему усмотрению этот список, добавляя новые источники информации. Тут я вижу проблему в том, что в случае возникновения новых типов атак или изменения профиля старых у нас будут слепые пятна.
2. Собираем все, что можем и потом уже занимаемся исключением по тому, что сочтем ненужным. Мне интуитивно кажется, что в таком случае мы имеем меньше слепых пятен, так как даже предполагая, что какой-то источник информации нам нужен и не убирая его, даже "на всякий случай", повышаем шансы заметить определенную атаку.
Наверное 2 и тогда вы сможете видеть аномалии и возможно новые атаки
источник
18:51пожаловаться#8

A

Anton in SOС Технологии
mad3e7cat
Привет, хотелось бы услышать разные мнения. Есть два стула:
1. Определить для себя скоуп данных, по которым хотелось бы искать в siem и дорабатывать по своему усмотрению этот список, добавляя новые источники информации. Тут я вижу проблему в том, что в случае возникновения новых типов атак или изменения профиля старых у нас будут слепые пятна.
2. Собираем все, что можем и потом уже занимаемся исключением по тому, что сочтем ненужным. Мне интуитивно кажется, что в таком случае мы имеем меньше слепых пятен, так как даже предполагая, что какой-то источник информации нам нужен и не убирая его, даже "на всякий случай", повышаем шансы заметить определенную атаку.
второй способ ущербный по-дефолту. имхо
источник
18:51пожаловаться#9

A

Anton in SOС Технологии
case-by-case
источник
18:51пожаловаться#10

NA

Nikolai Arefiev in SOС Технологии
Anton
второй способ ущербный по-дефолту. имхо
расскажите это при Threat Hunting-е
источник
18:52пожаловаться#11

A

Anton in SOС Технологии
Nikolai Arefiev
расскажите это при Threat Hunting-е
Вы собираете 30% всех возможных событий и инфраструктуре и 75% всех событий в инфраструктуре, при этом в обоих случаях вы обрабатываете 5% событий. В какой ситуации защищённость выше?
источник
18:53пожаловаться#12

NA

Nikolai Arefiev in SOС Технологии
В последний раз, когда тут спорили по данному вопросу, однозначного ответа не нашлось )
источник
18:54пожаловаться#13

y

yugoslavskiy in SOС Технологии
Nikolai Arefiev
@yugoslavskiy Не хочешь на этот счет сделать заметку или статью?
да вот мы вплотную полошли к тому чтобы составить классификацию необходимых данных с привязкой к Threat Detection и Incident Response. все время к этому шли, и вот уже почти пришли
источник
18:54пожаловаться#14

y

yugoslavskiy in SOС Технологии
есть разные проекты которые вроде как классифицируют эти вещи, но за этой оценкой ничего не стоит
источник
18:54пожаловаться#15

y

yugoslavskiy in SOС Технологии
а мы хотим чтобы чекто было, как-то так (диалог безопасника и админа):

"а нафига тебе process execution лог?"
"а вот":

- список Sigma правил
- список Response Actions
источник
18:55пожаловаться#16

y

yugoslavskiy in SOС Технологии
Nikolai Arefiev
В последний раз, когда тут спорили по данному вопросу, однозначного ответа не нашлось )
да нашелся он на самом деле, и спорить особо нечего
источник
18:56пожаловаться#17

Z

Zer🦠way in SOС Технологии
Anton
Вы собираете 30% всех возможных событий и инфраструктуре и 75% всех событий в инфраструктуре, при этом в обоих случаях вы обрабатываете 5% событий. В какой ситуации защищённость выше?
В той когда за клавиатурой сидит не овощ
источник
18:56пожаловаться#18

y

yugoslavskiy in SOС Технологии
те кто об этом спорят просто никогда на самом деле не пробовали собрать все и засунуть в процессиннг
источник
18:57пожаловаться#19

y

yugoslavskiy in SOС Технологии
один раз попробуешь, больше спорить не будешь
источник
18:57пожаловаться#20