• Поиск Use Case'ов для SIEM

      Глоссарий:

      SIEM (Security Information & Event Management) — программно-аппаратный комплекс для сбора информации о событиях (логи), их корреляции и анализа. Wiki.

      Use Case (применительно к SIEM) — устоявшийся термин, обозначающий конкретный набор правил/скриптов и/или механизмов визуализации. Например, для обнаружения сканирования портов, сверки IP адреса с внешней репутационной базой и т.д. Use Case’ы можно писать самому, брать готовые с сайта производителя или заказывать у подрядчиков.



      Задачей данной статьи является систематизация найденной информации по каталогам Use Case’ов и дополнительным ресурсам, а также активный диалог в комментариях. Поделитесь своим опытом, пожалуйста, а я буду обновлять пост полученной информацией.

      Содержание:

      1. Рейтинг SIEM в 2016 году
      2. “Родные” магазины Use Case’ов на сайтах производителей SIEM
      3. Рекомендации по самостоятельному написанию Use Case’ов
      4. Заказная разработка: карта интеграторов
      5. Сторонние каталоги Use Case’ов: SOC Prime UCL, форумы вендоров (список обновляется)
      6. Ссылки на блоги и дополнительные ресурсы информационной безопасности, относящиеся к SIEM
      Читать дальше →
    • PentestBox — портативная сборка популярных security утилит



        На сегодняшний день самыми популярными дистрибутивами для тестирования на проникновение являются *nix-like дистрибутивы: Kali Linux, BlackArch Linux, Pentoo, Whonix и многие другие. Они могут использоваться как в виртуальной среде, так и в качестве live системы или вообще быть установлены в виде десктопной ОС.

        Windows пользователи до недавнего времени были обделены (виртуальные машины не берем во внимание) такими сборками, пока не появилась волшебная коробочка — PentestBox.
        Читать дальше →
      • Компьютерная криминалистика (форензика): подборка полезных ссылок

          image

           
          Для того чтобы успешно проводить расследования инцидентов информационной безопасности необходимо обладать практическими навыками работы с инструментами по извлечению цифровых артефактов. В этой статье будет представлен список полезных ссылок и инструментов для проведения работ по сбору цифровых доказательств.

          Читать дальше →
          • +32
          • 34.5k
          • 8
        • Удивительно полезный инструмент: lsof

          • Translation
          Я привык искать проблемы в коде или в системе, пользуясь логами или показателями мониторинга, которые выводятся на симпатичных панелях управления с простым и понятным интерфейсом. Однако, если по какой-то причине данные на панель управления не поступают, или логи какой-нибудь службы недоступны, отладка усложняется. Теперь подобных проблем немного, встречаются они редко, но они, всё же, случаются. Поэтому и в наше время весьма ценно знание инструментов, которые помогают понять, что не так с неким процессом на каком-нибудь компьютере.

          image
          Читать дальше →
        • Сети для самых матёрых. Часть тринадцатая. MPLS Traffic Engineering

          • Tutorial
          Современные компьютерные сети, предложив дешёвый трафик, высокий профит, суперстабильность и божественную конвергентность, лишились таких притягательных качеств старых технологий, как возможность определять путь трафика и обеспечить качество канала от начала до конца.

          Однако сеть linkmeup выросла до размеров федерального оператора. Возможность управления трафиком и быстрого восстановления сервисов стали очень важным требованием в MPLS-сети.
          Пора внедрять Traffic Engineering.



          Содержание выпуска:
          • Предпосылки появления MPLS TE
          • Принципы работы MPLS TE
          • Способы направления трафика в TE-туннели
          • Способы управления туннелями

            • Метрики
            • Ограничения по полосе пропускания
            • Приоритеты туннелей
            • Explicit-Path
            • SRLG
            • Affinity и Attribute-Flag

          • Обеспечение надёжности и сходимость

            • Path Protection
            • Local Protection — Fast ReRoute
          • MPLS QoS

            • MPLS TE IntServ
            • MPLS TE DiffServ
            • Режимы работы MPLS QoS
          • Упрощение настройки туннелей
          • Заключение
          • Полезные ссылки




          Зачем вообще может понадобиться инжиниринг трафика?

          Читать дальше →
        • Гарвардский курс CS50 на русском: двадцатая лекция



            Мы продолжаем публиковать лекции легендарного Гарвардского курса CS50, которые мы переводим и озвучиваем специально для JavaRush. И рады вам представить уже 20-ю серию (напомним, что в курсе их 24).

            В этой серии цикла рассматривается тема компьютерной безопасности: излагаются основы личной безопасности в Интернете, принципы работы с паролями, объясняется специфика вредоносного программного обеспечения. Также в лекции затрагиваются проблемы неприкосновенности личных данных в современную цифровую эпоху, в том числе в общественно-политическом контексте.

            Список переведённых на сегодняшний день лекций под катом.

            Что вы узнаете, прослушав этот курс:

            • Основы компьютерных наук и программирования;
            • Концепции алгоритмов и алгоритмичности мышления. Какие задачи можно решать с помощью программирования и каким образом;
            • Концепции абстракции, структуры данных, инкапсуляции, управления памятью. Основы компьютерной безопасности. Процесс разработки ПО и веб-разработка;
            • Основы языка программирования C и Scratch;
            • Основы баз данных и SQL;
            • Веб-разработка: основы CSS, HTML, JavaScript и PHP;
            • Основы подготовки презентации проектов по программированию.
            Читать дальше →
            • +15
            • 18.5k
            • 3
          • Можно ли заменить Adobe Premiere и Sony Vegas бесплатными видеоредакторами?

              Пару месяцев назад на Хабре вышел обзор бесплатных нелинейных видеоредакторов, под которым быстро собрался тред из сотни комментариев. Некоторые из перечисленных инструментов относятся к профессиональным (Lightworks), другие — претендуют на звание бесплатной альтернативы профессиональным видеоредакторам (VSDC).

              Штука в том, что определение «профессиональности» довольно расплывчатое, и какой именно при этом подразумевается функционал неясно. Захотелось выяснить, в чём же всё-таки хороши бесплатные аналоги, и можно ли ими заменить программы стоимостью в несколько десятков тысяч рублей. Забегая вперед, скажем, что получилась ситуация почти как по Гоголю:
              Если бы губы Никанора Ивановича да приставить к носу Ивана Кузьмича, да взять сколько-нибудь развязности, какая у Балтазара Балтазарыча, да, пожалуй, прибавить к этому ещё дородности Ивана Павловича
              Другими словами, идеальный инструмент найден не был, но у каждого нашлась, как минимум, одна фича, не уступающая тому, что предоставлено в профессиональных видеоредакторах.

              Читать дальше →
            • Splunk. Введение в анализ машинных данных — часть 1. Примеры SPL запросов и визуализация логов

              • Tutorial


              В данной статье мы расскажем и покажем как загрузить данные в Splunk, как строить поисковые запросы в системе на основе встроенного языка SPL и как можно их визуализировать. Это чисто практическая «How to» статья на основе тестовых данных, доступ к которым предоставляется свободно и доступен для скачивания всем желающим.

              После прочтения и практического повторения Вы научитесь:

              • Пользоваться базовым функционалом системы
              • Загружать данные в Splunk
              • Строить базовые поисковые запросы
              • Визуализировать полученные результаты

              Читать дальше →
            • Exploit Exercises: Введение в эксплуатацию бинарных уязвимостей на примере Protostar

              • Tutorial


              Всем доброго времени суток. Продолжаем разбор заданий с сайта Exploit Exercises, и сегодня будут рассмотрены основные типы бинарных уязвимостей. Сами задания доступны по ссылке. На этот раз нам доступны 24 уровня, по следующим направлениям:

              • Network programming
              • Byte order
              • Handling sockets
              • Stack overflows
              • Format strings
              • Heap overflows
              Читать дальше →
            • Создание зашифрованной флешки Kali Linux Encrypted Persistence

              В данной статье описывается метод создания загрузочной флешки с системой Kali Linux, функционал которой позволяет создать зашифрованный раздел, где будут храниться все её параметры, установленные программы и данные. Шифрование производится посредством алгоритма aes c ключом 256 бит (настроить шифрование вы можете на свой вкус, изучив команду cryptsetup).

              1. Создание загрузочной флешки


              Для записи образа используйте программу Rufus. Выберите устройство, на которое будет распакован образ, далее выберите iso-образ системы и из выпадающего списка выберите DD-образ.

              image

              После развертывания образа структура разделов флешки примет следующий вид:

              image
              Читать дальше →
            • Pebble для ленивых программистов

              • Tutorial
              Мне «повезло» — часы Pebble Time пришли ко мне одновременно с новостью о продаже компании. Радость от покупки была омрачена двумя вещами: неясностью будущего платформы и не очень то большого комьюнити разработчиков и отсутствием необходимых мне приложений. Но эти недостатки с лихвой окупились возможностью легко и быстро написать нужные мне приложения, несмотря на недостаток опыта в программировании на С и JavaScript (о нем сегодня расскажу подробней).

              Pebble оказались действительно хороши для быстрого написания приложений для себя. Начиная от получения какой либо информации, заканчивая управлением с часов своими поделками умным домом. Так что поторопитесь купить pebble, пока они есть в наличии. Если у вас уже есть pebble, надеюсь эта статья поможет вам провести несколько праздничных дней с пользой ;)
              На хабре и раньше были статьи о программировании для Pebble, но они несколько устарели. В этой статье я расскажу о современном состоянии дел с Pebble IDE и мы напишем простенькое приложение на JavaScript.
              Читать дальше →
            • VulnHub: Разбор IMF 1 и очередное переполнение буфера

              • Tutorial

              В этот раз рассмотрим Boot2Root IMF 1 от VulnHub. Имеется 6 флагов, каждый из которых содержит подсказку к получению следующего. Так же рекомендую ознакомиться с разборами предыдущих заданий.
              Читать дальше →
            • CTFzone write-ups — Deeper into the WEB

                image


                Друзья, надеемся, что выходные у всех прошли хорошо, и вы снова готовы немного поломать голову над заданиями CTFzone. Мы продолжаем публиковать райтапы к таскам, и сегодня мы разберем ветку WEB. На всякий случай запасайтесь кавычками и вперед ;)


                Направление WEB было вторым по популярности после Forensics, в общей сложности хотя бы одно задание решили 303 человека. Кстати, из них задание на 1000 решили всего пять участников, поэтому ему мы уделим особое внимание. Задания на 50 и на 100 уже публиковались, так что мы сразу перейдем к таскам посложнее.


                Читать дальше →
              • DNS сервер BIND (теория)

                  Основная цель DNS — это отображение доменных имен в IP адреса и наоборот — IP в DNS. В статье я рассмотрю работу DNS сервера BIND (Berkeley Internet Name Domain, ранее: Berkeley Internet Name Daemon), как сАмого (не побоюсь этого слова) распространенного. BIND входит в состав любого дистрибутива UNIX. Основу BIND составляет демон named, который для своей работы использует порт UDP/53 и для некоторых запросов TCP/53.

                  Основные понятия Domain Name System


                  Исторически, до появления доменной системы имен роль инструмента разрешения символьных имен в IP выполнял файл /etc/hosts, который и в настоящее время играет далеко не последнюю роль в данном деле. Но с ростом количества хостов в глобальной сети, отслеживать и обслуживать базу имен на всех хостах стало нереально затруднительно. В результате придумали DNS, представляющую собой иерархическую, распределенную систему доменных зон. Давайте рассмотрим структуру Системы Доменных Имён на иллюстрации:
                  Читать дальше →
                • Опыт подготовки к сдаче экзамена на статус RHCVA (Red Hat Certified Virtualizaion Administrator)

                    Не так давно посчастливилось пройти курс Red Hat Virtualization (RH-318) и принять участие в сдаче соответствующего экзамена на статус RHCVA — Red Hat Certified Virtualization Administrator(EX-318). Подобных тем на Хабре я, к сожалению, не нашел, поэтому поделюсь собственным опытом подготовки к сдаче экзамена.

                    По вполне понятным причинам я не могу раскрывать информации об экзамене, его содержимом, поэтому буду использовать исключительно открытые источники, которых достаточно для того, чтобы быть готовым в нужный момент.
                    Читать дальше →
                  • 23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности



                    Утечки данных происходят почти каждый день. Согласно индексу утечки данных, с 2013 года более 4,762,376,960 записей было утеряно или украдено.
                    Читать дальше →