N
Хотя я думал что threshold это порог
Size: a a a
2021 January 19
AL
Ну да. Некорректно сформулировал
RI
Alexey Lukatsky
Стандартное состояние - baseline; величина отклонения - threshold
Я про правило, про которое Коля пишет.
AL
Вопрос был именно про baseline, а не пороговые значения. С ними определяться уже после того, как ты определил, что будешь контролировать - DNS-трафик на пользовательских машинках, время начала и завершения сессии пользователя, точки входа в корпсетку, запускаемые приложения/команды/процессы на хосте, неуспешные аутентификации и др.
RI
Alexey Lukatsky
Вопрос был именно про baseline, а не пороговые значения. С ними определяться уже после того, как ты определил, что будешь контролировать - DNS-трафик на пользовательских машинках, время начала и завершения сессии пользователя, точки входа в корпсетку, запускаемые приложения/команды/процессы на хосте, неуспешные аутентификации и др.
Именно, т.е. первой стадией всегда идёт классификация и кластеризация активов (или данных), для которых строятся baseline. Есть ещё вообще мега-карате - это baseline для группы baseline
2021 January 21
АЯ
Коллеги, подскажите, что используете для сбора событий с DC в SIEM? Контроллеров много и они генерируют довольно большой поток событий. Какие схемы показали себя эффективно? Есть ли какие проблемы?
v
Wineventlog ;)
SR
Артем Ящук
Коллеги, подскажите, что используете для сбора событий с DC в SIEM? Контроллеров много и они генерируют довольно большой поток событий. Какие схемы показали себя эффективно? Есть ли какие проблемы?
Windows Event Log Forwarding - наиболее промышленный способ централизации логов в доменной среде.
По сабжу гуглится довольно много статей и про перформанс в том числе
https://docs.microsoft.com/en-us/troubleshoot/windows-server/admin-development/configure-eventlog-forwarding-performance
Проблемы будут в любом случае при большой нагрузке, их нужно мониторить и решать по мере поступления. Как пример - сервера могут отваливаться от WEC подписок.
В плане снижения нагрузки можно фильтровать на уровне подписки только те события, которые требуются
По сабжу гуглится довольно много статей и про перформанс в том числе
https://docs.microsoft.com/en-us/troubleshoot/windows-server/admin-development/configure-eventlog-forwarding-performance
Проблемы будут в любом случае при большой нагрузке, их нужно мониторить и решать по мере поступления. Как пример - сервера могут отваливаться от WEC подписок.
В плане снижения нагрузки можно фильтровать на уровне подписки только те события, которые требуются
М
Артем Ящук
Коллеги, подскажите, что используете для сбора событий с DC в SIEM? Контроллеров много и они генерируют довольно большой поток событий. Какие схемы показали себя эффективно? Есть ли какие проблемы?
Nxlog и постоянно тюнить исключения и вообще разбираться почему много событий генерируется)
2021 January 22
AL
2021 January 27
A
S
Alexey
ну такое, сырое очень... PE анализ только да заливка в virustotal
версия 1.0.0 явно зря поставлена
версия 1.0.0 явно зря поставлена
A
Зато семплы
AI
Всем привет! подскажите кто какие профили (бейзлайны) строит в siem, которые реально работают и мало фолсят. Например: процесс, количество уникальных хостов где он встретился за последние X дней. Далее в самом правиле алерт, если находим процесс, встречающийся менее чем на Y машинах
Или для логов сетевых соединений серверов, наверное, тоже можно построить профиль входящих/исходящих соединений. Если увидели новое, алерт, хотя тут боюсь много фолсов будет
Или для логов сетевых соединений серверов, наверное, тоже можно построить профиль входящих/исходящих соединений. Если увидели новое, алерт, хотя тут боюсь много фолсов будет
Есть мнение, что затея реализовывать задачи UEBA (а профилирование - это как раз оттуда, ИМХО) в SIEM - развлечение ниже среднего.
Была тут идея ловить логины сервисных учёток с нехарактерных (не замеченных раньше) адресов - вроде и работает, но попутно генерит тучу фолсы. А при попытке такое же сделать для пользователей аналитики вообще охренели от количества алертов...
Я не знаю, решает ли УЁБА эту проблему, но бейслайны в СИЕМ - это прям какая-то боль
Была тут идея ловить логины сервисных учёток с нехарактерных (не замеченных раньше) адресов - вроде и работает, но попутно генерит тучу фолсы. А при попытке такое же сделать для пользователей аналитики вообще охренели от количества алертов...
Я не знаю, решает ли УЁБА эту проблему, но бейслайны в СИЕМ - это прям какая-то боль
N
Артем Ящук
Коллеги, подскажите, что используете для сбора событий с DC в SIEM? Контроллеров много и они генерируют довольно большой поток событий. Какие схемы показали себя эффективно? Есть ли какие проблемы?
События с контроллеров перенаправляем через windows event forwarding на выделенный сервер, с него уже в сием забираем
N
Забирвем только события которые нам интересны, поток большой, но все пережевывается сиемом без каких-то проблем
v
Забирвем только события которые нам интересны, поток большой, но все пережевывается сиемом без каких-то проблем
только WEC иногда отваливается
N
только WEC иногда отваливается
Больше года работает, проблем с отвалом не видели
ML
Больше года работает, проблем с отвалом не видели
WEC довольно стабильная штука, при условии соблюдения рекомендаций от майков и выделения достаточного количества ресурсов👍🏻
у меня тоже никогда WEC не отъезжал
у меня тоже никогда WEC не отъезжал
Z
а еще у wec бывают задержки доставки)