NA
У вас есть время, пока я не добежал до патентного бюро
Size: a a a
2021 February 25
Z
Но вот моя теория позволяет нарисовать график, отчеркнуть красную черту и сказать, что после такого кол-ва изменений в инфре пора покупать новый СИЕМ и делать новый проект по внедрению
а старый сием чем не угодил?)))
NA
плохой, не работает, несите новый )))
NA
фалсит и нужных событий в нем нет )
NA
это я ооочень утрирую
AI
Максим Жевнерев
ну оценить с каких хостов получаешь полный лог а с каких не получаешь - не самая большая проблема.
Можно категориями, можно конкретными типами событий.
Кол-во "работающих" хостов тоже не самая сложная задача для вычисления (хоть и есть ньюансы).
Соответственно дальше все нормально считается и наверное даже предсказывается :)
Можно категориями, можно конкретными типами событий.
Кол-во "работающих" хостов тоже не самая сложная задача для вычисления (хоть и есть ньюансы).
Соответственно дальше все нормально считается и наверное даже предсказывается :)
Поможет, но не полностью. Например: событие приходит, всё хорошо. Только одно из ключевых полей внутри всегда пустое теперь. Соответственно, наше правило корреляции на него не сработает 🤷♂
А мониторить все поля всех событий - развлечение то ещё
А мониторить все поля всех событий - развлечение то ещё
МЖ
ну я проверяю корректность настройки аудита по определенным событиям с определенными параметрами.
то же наличие command line в 4688, который включается отдельной опцией
то же наличие command line в 4688, который включается отдельной опцией
Z
Поможет, но не полностью. Например: событие приходит, всё хорошо. Только одно из ключевых полей внутри всегда пустое теперь. Соответственно, наше правило корреляции на него не сработает 🤷♂
А мониторить все поля всех событий - развлечение то ещё
А мониторить все поля всех событий - развлечение то ещё
обогащением можно проверять заполненность важных полей. только всё это надо писать) ну и корректность заполнения поля контролировать хз как
NA
Вот только это должно быть сделано на этапе нормализации
NA
на то она и нормализация, чтобы привести все события к единой нормальной форме и корректно отработать ситуацию с пустыми полями (и не только).
NA
Все контроли структуры событий должны быть закопаны именно там.
В принципе можно избрать стратегию, что если нормализация не нашла поля в сыром событии, или оно пустое, то такое событие просто отбрасывается и формируется ошибка, на которые можно реагировать.
Но так никто делать не будет ибо геморно )
В принципе можно избрать стратегию, что если нормализация не нашла поля в сыром событии, или оно пустое, то такое событие просто отбрасывается и формируется ошибка, на которые можно реагировать.
Но так никто делать не будет ибо геморно )
Z
Все контроли структуры событий должны быть закопаны именно там.
В принципе можно избрать стратегию, что если нормализация не нашла поля в сыром событии, или оно пустое, то такое событие просто отбрасывается и формируется ошибка, на которые можно реагировать.
Но так никто делать не будет ибо геморно )
В принципе можно избрать стратегию, что если нормализация не нашла поля в сыром событии, или оно пустое, то такое событие просто отбрасывается и формируется ошибка, на которые можно реагировать.
Но так никто делать не будет ибо геморно )
Потому что мы нормализуем далеко не всё что нам прилетает.....я бы в такой нормализации давал особый id "кривому событию"
$
обогащением можно проверять заполненность важных полей. только всё это надо писать) ну и корректность заполнения поля контролировать хз как
Помнишь историю про «пробел в поле, где нельзя null»?)
Z
Помнишь историю про «пробел в поле, где нельзя null»?)
:) нет, забыл
$
:) нет, забыл
В базе было поле, в которое нельзя null и спецсимволы. Одни разрабы начали писать в это поле итерацию по количеству пробелов. Максимальная длинна поля 1023 символа.
Угадай когда нашли проблему и где к тому времени были разрабы?)
Угадай когда нашли проблему и где к тому времени были разрабы?)
Z
В базе было поле, в которое нельзя null и спецсимволы. Одни разрабы начали писать в это поле итерацию по количеству пробелов. Максимальная длинна поля 1023 символа.
Угадай когда нашли проблему и где к тому времени были разрабы?)
Угадай когда нашли проблему и где к тому времени были разрабы?)
😭👍
m
Поможет, но не полностью. Например: событие приходит, всё хорошо. Только одно из ключевых полей внутри всегда пустое теперь. Соответственно, наше правило корреляции на него не сработает 🤷♂
А мониторить все поля всех событий - развлечение то ещё
А мониторить все поля всех событий - развлечение то ещё
А регулярные мероприятия типа прогона по всем покрытым атакам - не вариант?
Z
А регулярные мероприятия типа прогона по всем покрытым атакам - не вариант?
При условии что все устройства будут включены
Z
Никто не ушел в отпуск, болеть, в ремонт
m
Допустим, есть у нас набор алертов, покрывающих атаки по логам auditd, составить плейбук, загружающий тулы, прогоняющий атаки, пополнять плейбук при каждом новом алерте