Pull to refresh
28
0
Send message
По ранжиованию — в TheHive можно создать шаблоны инцдентов, которые будут применяться в соответствии с определёнными условиями к инциднтам(кейсам), заполняя все предопределённые поля, TLP, таски, префиксы к заголовкам и т.д… Всё это потом может изменить аналитик, получив дополнительные сведения по инциденту от группы реагироания.
Привязка к активам — вещь достаточно спорная, и на конец 2017 года, российские вендоры IRP не поддерживали и не планировали поддерживать multitenancy, а это потиворечило выбранной нами бизнес-модели ИБ.
TheHive позволяет расширить функционал, добавив любое поле, любого типа и любые метрики. Можно добавить поле «Активы», а наполнять его напрямую в БД ElasticSearch, используемую в TheHive, через LogStash, который гарантированно дружит с каспером и с CMDB, наприер с iTop. Или даже пойти правильным путём и использовать API TheHive4Py.
>>вы действительно внедрили или все пока на уровне предположений и планов?
Внедрили, используем и сейчас на этапе автоматизации уже. Основные трудности не в описанном выше архитектурном стеке, а в разработке, стандартизации и оптимизации бизнес-процессов KB, реагирования и расследования инциднтов ИБ.
Учитывается, пока не выходит за рамки личного использования, если подрастёт до тиражжиования сервиса, как услуги — лицензия будет нужна конечно. Но скорее придётся отказаться от Extpack, слегка повысив маржинальность, так-как после конфигурации ВМ он не сильно нужен и может быть с лёгкомтью заменён VNC.
Эта статья из ссылки выше поможет восполнить пробелы в понимании энергетического метаболизма, которые очень бросаются в глаза при прочтении статьи, поскольку многое из описанного не совсем верно с точки зрения биохимии
От себя могу порекомендовать отличную с точки зрения научной полноты статью по похудению, в которой подробно разобрана оптимальная стратегия похудения
Специально для конспирологов — вот семплы данной CVE, после регистрации будет доступно скачивание.
В гугле информации — полно, не знаю как Вы искали.
После таких вот статей, доверия недорогим вариантам «100% не битых, не крашеных, с одним владельцем и всеми документами» совсем нет
С сетей cubehost[dot]biz малвари и сомнительных доменов — полным полно:
https://virustotal.com/ru/ip-address/146.185.239.3/information/
https://virustotal.com/ru/ip-address/146.185.239.30/information/
https://virustotal.com/ru/ip-address/146.185.239.33/information/

Но связь Артема Тверитинова с доменом не убедительна, хотя и совпадения достаточно точные
Вот неплохая и подробная статья о выпуске книги без издательства, может пригодиться
Хотел-бы отметить сервис www.hybrid-analysis.com, который является бесплатным, и в отличии от malwr, ПО не может идентифицировать виртуальную среду, вот тест PaFish:
malwr — malwr.com/analysis/ZGY2MWVjNGU0OGQ0NDg1ZmJmZGQ2NDQ5Y2VhMGE2NmI
Hybrid-Analysis — www.hybrid-analysis.com/sample/7dc5a5d20c335d1260aa78a09c71f663d8f62c3c01ba8859efad791daf4e555b?environmentId=1
Плюс сканирование ведётся в песочницах на Win 7 и информации о работе ПО представлено существенно больше.
Извиняюсь, не совсем внимательно прочёл про запуск экзешника, но в любом случае с malwr можно поднатаскать много исполняемых файлов по различным критериям, например только те, у которых есть сетевая активность, на наличие которой, как особо важного критерия, так упирают разработчики Cezurity
ateraefectus Возьмите c malwr бинарники с детектируемые 30+ антивирусами, запустите их в виртуалке с рабочим Cezurity, для «чистоты эксперимента» так сказать. Не думаю, что ситуация будет сильно отличаться от описанной в статье.
Сигнатурный механизм реализован в правилах OSSEC, описанное мною — механизм превентивной защиты. HIPS — Host Intrusion Prevention System. Prevention в данном случае — «Active Response».. Функция есть и она работает. Если что-то не вышло настроить — не стоит сразу обвинять разработчиков ПО, для начала вдумчиво прочитайте официальную документацию, в ней есть подробнейший ответ на интересующий Ваш ум вопрос. Если что-то не получится настроить — пишите в ЛС, разберём Вашу проблему детальнее.
Давайте не будем. Второй год использую данную технологию без каких либо проблем в стандартной связке с iptables, технология прозрачна и проста, совершенно не ясно о каких таких случаях Вы говорите в ключе неработоспособности данной технологии.
И OSSEC и Suricata могут работать и как IDS и как IPS, но в любом случае спасибо, поправил
Соглашусь с вами, по сравнению с любыми другими SIEM системами, цена на OSSIM USM в разы (а то и в десятки раз) ниже цен конкурентных продуктов
установка системы с нуля + HIDS + NIDS + настройка ESXi займёт у вас не больше 15-ти минут на сервере средней мощности, вопрос дебага, сбора доп. логов, настройки пентеста и т.п. в расчёт не берутся.
Попробуйте с нуля поднять OSSEC + Suricata и зарулить их обе, напрмиер в Splunk или Prelude с UI Prewikka, это займёт у вас как минимум час, при условии, что вы имеете представление о том, чего делаете(я уже молчу про кросс корреляцию).
У данной системы за 13+ лет существования появилось огромное и очень отзывчивое комьюнити — www.alienvault.com/forums, а на проекте с документацией — alienvault.bloomfire.com можно найти немало полезных сведений по любым вопросам, с дебагом системы справится даже самый «зелёный» эникейщик, почитав с часик — другой ссылки, обозначенные мною выше.
пропустите этот пункт в мастере установки, и установите из меню Environment -> Detection -> HIDS -> Agents, должно помочь.

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Registered
Activity

Specialization

Security Engineer, Antifraud Analyst
Lead
From 400,000 ₽