• На страже безопасности: IBM QRadar SIEM
    0
    Не подскажете, можно ли на QRadar-е распарсить лог в формате JSON (плоский — поле+значение, поле+значение… — {«fieldName1»:«val1», «fieldName2»:«3»})? Не обычными регулярками из JSON-строчки выковыривать в кастомные поля, а именно писать custom_field = $.fieldName1 или вроде того?
  • Корпоративная мобильная безопасность и управление доступом пользователей
    0
    Единый вход можно реализовать с помощью целого множества различных протоколов и технологий, например, SAML 2.0, сохранения паролей (password vaulting), обратных прокси или технологии Open ID Connect.

    А можете подсказать какие-то конкретные решения, которые позволяют реализовать SSO для входа на веб-ресурсы, которые не умеют ни SAML, ни OpenID Connect, ни LDAP? Т.е. есть веб-приложение, в нем база пользователей и форма входа (POST). Можно ли в какой-то единой системе сохранить/сгенерировать пароль для его учетки от этого приложения и чтобы система сама его «вводила»? Понимаю примерно как реализовать такое через реверс-прокси, но интересуют готовые системы.
  • Как взламывают телеком-провайдеров: разбор реальной атаки
    +1
    В качестве следующей цели были выбраны терминальные серверы, предоставляющие пользователям ресурсы для решения различных задач. Из-за недостаточного уровня изоляции сессий пользователей компрометация одной учетной записи могла повлечь компрометацию учетных записей других пользователей терминального сервера.

    Что в данном случае имелось ввиду под изоляцией сессий? Пользователями запускались файлы, которые все могли изменять? Некорректно настроенные доступы к профилям? Или что-то другое?
  • ПРАВИЛьная кухня
    0
    А Arcsight позволяет писать свои парсеры логов? В QRadar столкнулись с тем, что для парсинга можно использовать только регулярки и к примеру перевести лог, ведущийся в формате JSON/XML, с помощью функций сием проблематично/не эффективно/невозможно.
  • ПРАВИЛьная кухня
    0
    добавления в события недостающей информации – имени пользователя, информации о владельце учетной записи из кадровой системы, дополнительного описания хостов из CMDB

    А как переносите и актуализируете эти сведения из этих систем в SIEM? Вручную самостоятельно по выгрузкам, пишете модули интеграции, или к примеру есть промежуточный инструмент, который позволяет клиентам вносить информацию?
  • ПРАВИЛьная кухня
    0
    Расскажите, пожалуйста, про интересные инциденты — такие как на http://www.securitylab.ru/analytics/473903.php, в особенности про инциденты, выявленные на уровне бизнес-процессов (как с кредитом по ссылке). И какие правила помогли их найти.
  • Solar JSOC – опыт построения коммерческого SOC
    0
    1) Расскажите еще, пожалуйста, про то, как взаимодействуете с заказчиками: в плане какие действия/запросы/изменения/требования обязательно и жестко фиксируете на бумаге, а какие ведете в электронном виде. К примеру, согласование профилей легальной активности (http://www.securitylab.ru/analytics/473903.php), согласование способов информирования об атаках (те же перечни телефонов, почт), согласование ответственных лиц, возможно категории инцидентов, тот же перечень контролируемых хостов/сервисов на них.

    Ограничиваетесь базовым договором, а все остальное — в электронной форме (через тикеты)?

    2) А также вопрос: как понять параметр SLA «Время обнаружения инцидента (мин)». Когда начинается отсчет времени и каким событием он заканчивается?
  • Solar JSOC – опыт построения коммерческого SOC
    0
    И еще вопрос: по заказчикам услуг. Кто они (госы, банки, больницы...)? И откуда они? Все из Москвы/Нижнего Новгорода? Или есть ли кто-то из регионов?
  • Solar JSOC – опыт построения коммерческого SOC
    0
    Спасибо за развернутый ответ.

    А как налаживаете процесс работы с администраторами организаций — теми, кто проверяет, что атака была успешной/неуспешной? Как вы учитываете время их реакции — оно каким-то образом связано с вашими показателями SLA? Как уменьшаете количество ложных срабатываний в подобных ситуациях:

    К примеру, нет WAF, фиксируется попытка заливки веб-шелла (СОВ), потом обращение к веб-шеллу для проверки успеха атаки (логи веб-сервера) и пусть код ответа 404. Но что, если скрипт шелла сам возвращает не 200-й код, а 404-й к каждому обращению к нему. Если реагировать только по логам и не проверять сервер на наличие шелла, то можно пропустить атаку. А уведомление об атаке = время на проверку.
  • Solar JSOC – опыт построения коммерческого SOC
    0
    WAF as a service

    Вы сотрудничаете с другими поставщиками таких услуг или сами устанавливаете и управляете WAFами? Если не секрет, что за WAF предпочитаете?

    Комплектный контроль защищенности

    Сканируете только периметр или еще и сканируете внутреннюю сеть организации? Если второе — то проводите выездные проверки, размещаете агент сканера, организуете разовый удаленный доступ или постоянно имеете удаленный доступ к сети организации?
  • Kaspersky Security Center — борьба за автоматизацию
    0
    Логику по назначению задачи (с учетом массовых завалов алертами и прочим) планировалось перенести на отдельную систему. С группой интересно, хотя и не очень подходит в моем случае. Наверно. Через klakaut можно будет узнать статус групповой задачи для конкретного хоста (ждет/запущена/успех/ошибка?)?

    Мы вытягиваем из KSC и анализируем во врешних системах немалое количество информации (по ПО, оборудованию, состоянию баз, подключению агентов, активных учетках и т.п.), правда работаем напрямую с базой (даже зачастую не с готовыми публичными вьюхами) под зарезанной в правах учеткой. АПИ klakaut меня испугало если честно) Хоят смотрел на него пару раз только.
  • Kaspersky Security Center — борьба за автоматизацию
    0
    Вы не разбирались как запустить задачу на установку пользовательского пакета ПО на заданном компьютере, а по ее окончании — удалять ее — чтобы не было проблем с дублированием имен задач и т.п.? В недалеком будущем хотелось бы по срабатывании определенных алертов Касперского запускать автоматически на проблемном компьютере ПО для диагностики (делать это именно через касперский). Лишь бегло смотрел документацию klakaut и пока особо не вникал.
  • Кибергруппа Buhtrap использует для своих целей атаки Watering Hole
    0
    И еще, если можно — уточните, пожалуйста, до какого точно времени на сайте лежал поддельный файл?
  • Кибергруппа Buhtrap использует для своих целей атаки Watering Hole
    0
    Уточните, пожалуйста, как файл поддельного амми распространялся с их сервера — физически был подменен exe-шник на сервере или была подменена ссылка на страничке загрузки на сайт злоумышленников (если да, то на какой вела)? А также — был подменен только exe и еще архив с амми (раньше вроде бы была ссылка и на загрузку exe и на загрузку архива)?
  • Успешное внедрение SIEM. Часть 2
    0
    Разве SIEM — подходящее решение для комплаенса? Она же логи обрабатывает. Мы у себя немного по другому делаем — сделали интеграцию AD, систем мониторинга, систем инвентаризации сетевых устройств, отдельных конфигов оборудования и некоторых других вещей с нашей системой на CMS Drupal (каждый хост/сетевое устройство/человек и т.п. — отдельная сущность со своими полями (инвентаризационные данные, информ система, организация, кто работает и проч.)). Политики проверяем скриптами, которые пишут в Drupal, при необходимости графиков и истории — отдельные метрики дублируются в заббикс. Табличные выборки несоответствия/соответствия делаются стандартными модулями Drupal. Все серверные скрипты собраны в модули Drupal.

    И уже эту штуку планируем использовать как источник знаний для SIEM…
  • Успешное внедрение SIEM. Часть 1
    0
    Спасибо, а когда ждать следующую статью про корреляцию? Мне например, в особенности интересно как наладить проверку реальности атак уровня веб-приложения.

    К примеру, SQL-иньекции. Допустим есть веб сервер с кучей сайтов (все на одном IP 11.22.33.44 — только вир.т. хосты разные), и один из виртуальных серверов на нем — xxx.abc.ru. IDS обнаруживает атаку и залоггирует payload (http://xxx.abc.ru/path/script.php?param=INJECTION_HERE). IDS отправляет в SIEM в CEF алерт что мол на IP 11.22.33.44 была атака типа SQL и номер алерта в IDS 123456.

    Как быть дальше? Как я предполагаю: По приходу такого алерта надо запустить скрипт, который получает из базы IDS payload атаки (лог веб-сервера не подойдет — POST не логгируется), распарсить его, вычленить поле Host, вычленить атакуемый параметр, запустить sqlmap/сканер, проверить параметр на иньекцию и ждать в сием результатов сканирования? Разумеется с использованием WAF в режиме регистрации можно первые шаги упростить.

    Еще интересно как быть с «инвентаризацией» веб-ресурсов — чтобы регулярно актуализировать списки проверки веб-сканерами (чтобы находились все сайты на всех поддоменах и во всех подпапках, все скрипты в них и все параметры — не все сканер может выявить самостоятельно). Условие — автоматизированность — систем очень много. И возможно ли сразу увязать результаты такой инвентаризации и проверки сиемкой? Чтобы уже были знания по «безопасным» параметрам?

    Можете осветить в следующей статье подобные кейсы?

    PS. Про WAF от Валларма с его самопроверкой наличия иньекций знаю, но он дороговат в редакции нужной нам…
  • Примеры фишинговых сообщений электронной почты
    0
    Встречались интересные массовые фишинговые письма с контекстной информацией по региону. Информация от некоего органа по СЗФО для работника из этого региона. Причем единственное упоминание электронной почты, на которое пришло письмо было найдено в социальной сети mail.ru — там же был указан и город.
  • Успешное внедрение SIEM. Часть 1
    0
    Можно пару вопросов) Очень интересная тема.

    Вы все логи в сием шлете? Не делали промежуточных сборщиков на чем-нибудь бесплатном (logshash) c предварительной фильтрацией и отправкой на сием только важных (некий первый, грубый уровень фильтрации)? Очень уж дорогой каждый EPS.

    В чем инвентаризируете инфраструктуру — где описываете что за каким IP закреплено, тип сервера, что за система что за сервисы, критичность — для дальнейшей загрузки в сием и корреляции?
    Что предварительно сделали с инфраструктурой перед внедрением сиемки (инвентаризация, политики и проч) и по ходу развития?

    Вообще у вас насколько большая инфраструктура, которую мониторите, какой ее состав (больше маршрутизаторы/ком. обрудование или информсистемы), и какой поток EPS обрабатывает SIEM? И во сколько все это обошлось (хотя бы порядок цен)
  • О бедной XWiki замолвите слово
    0
    сегодня постестил немного портативную версию. очень понравилось.
  • О бедной XWiki замолвите слово
    0
    Спасибо.

    Про полномочия, интеграцию с LDAP, маппингом AD-шных групп вчера прочитал и немного понял. На уровне документации все здорово выглядит.

    т.к. русский язык не поддерживается на 100%

    А можете еще о проблемах с русским, кроме словоформ рассказать? С ними понятно — что без нормальных внешних поисковых движков типа сфинкса или еще чего-нибудь поиск всегда будет такой. Поддерживаются ли русские названия страниц и пространств полностью? В медиавики русское название — с пробелами и прочим — можно писать прямо в адресной строке браузера (wiki.ru/wiki/Моя статья), а в примерах XWiki, что я видел, BestPractice почему-то на английском. Не придется ли авторам статей создавать дополнительные названия страниц на английском?

    К сожалению, пока не на работе, испытать негде (дома м.б. попробую), а в песочнице на playground.xwiki.org я не могу править и создавать странички — не появляется кнопка правки после регистрации.
  • О бедной XWiki замолвите слово
    0
    Ищу альтернативу медиавики.

    Как в xwiki с разграничением доступа? Можно для отдельных страничек в space разрешить чтение только отдельной группе пользователей? И будет ли при этом работать корректно поиск — в медиавики вроде бы все ACL-расширения костыльные — в поиске выводится все.

    Есть ли возможность автоматически нумеровать статьи и в дальнейшем искать их по номеру — например, KB123456? И чтобы этот номер выводился на самой страничке. Т.е. было и номальный заголовок и номер. В медиавики такой модуль не нашел (можно сделать костылем с mod_rewrite, но поиск по номеру статьи работать не будет).

  • Целенаправленная и сознательная деавтоматизация бизнеса
    0
    Продавцы и операторы колл-центра обычно скриптуются по самое не балуйся так, чтобы неожиданностей (для нас) в разговоре не было. Мы обучаем этим скриптам и потом показываем, что делать по ним не надо.


    А не подскажете, в каких программах можно «заскриптовать» логику и порядок вопросов, задаваемых например первой линией звонящему? Читал и немного смотрел про BPM-системы (из открытых — camunda), но мне показалось, что они очень сложны и немного для других целей. Хотелось бы иметь возможность накидать порядок вопросов, варианты ответов, список вещей, которые надо запросить и т.п. И чтобы набор вопросов, появляющихся на каждом шаге мастера, зависел от ответов на предыдущие вопросы.

    Понимаю, что можно напрограммировать всю нужную логику, но хотелось бы настраивать такое через интерфейс — натыкиванием мышкой.
  • JSOC: опыт молодого российского MSSP
    0
    А почему остановили свой выбор на Arcsight? Среди каких сием-систем выбирали? Расскажите, пожалуйста, что не понравилось (не хватало) в той же QRadar или сием от макафи? Вопрос стоимости был не во главе (или арксайт по совокупности не намного дороже других сием)?
  • Как поймать то, чего нет. Часть вторая: снаряд и броня
    0
    сам спросил @ сам нашел.

    github.com/kbandla/APTnotes

    Куча отчетов
  • Централизованый сбор Windows event логов, без установки агента, с последующей визуазизацией средствами ELK
    0
    А как сливаете — клиенты инициируют отправку или коллектор опрашивает клиентов и загружает логи? Работает ли это все дело, если клиент за НАТом (первый вариант сбора логов, разумеется)?
  • Централизованый сбор Windows event логов, без установки агента, с последующей визуазизацией средствами ELK
    0
    Вы сами пользовались форвардингом большого количества событий (не выборочно, а прямо все события из Security лога) с большого количества раб. станций? Сколько событий/сек может нормально обрабатывать 1 сервер-коллектор?

  • Как поймать то, чего нет. Часть вторая: снаряд и броня
    0
    а какая система, если не секрет? и что за сигнатура, если СОВ?
  • Как поймать то, чего нет. Часть вторая: снаряд и броня
    0
    Можно еще вопрос —
    Через 20 минут машину выкинуло из сети за подозрительную активность (шифрование всех доступных редактируемых файлов).


    Это как так произошло — как ее выкинуло? Как опредило, что шифрует? Какая-то IPS? Или вы вручную выявили источник и заблокировали?
  • Как поймать то, чего нет. Часть вторая: снаряд и броня
    0
    Найду — выложу.

    Да, это было бы интересно) Если можно — как можно больше подробностей. Шифровщики — больная тема

    ZIP — эксплотировали что-то виндовое? Или у архиватора?
  • Как поймать то, чего нет. Часть вторая: снаряд и броня
    0
    Можно попродробней про такую фотку? Речь идет про необновляемую винду? Или с последними патчами?

    Про архив тоже интересно — архив со скриптами/исполнительными файлами или чем-то другим?

  • Как поймать то, чего нет. Часть вторая: снаряд и броня
    0
    В общем и целом самая страшная опасность (по недооцененности) — сайты, открытые по корпоративной надобности, уверенность, что там все нормально. Проблема в том, что все иные пути проникновения можно перекрыть, а этот — нет.


    Хм. А хотя бы в общем — как много сталкивались с успешной социальной инженерией для проникновения на АРМ через электронку, соцсети? Какие направления использовались злоумышленниками — сплоиты в документах word/excel/pdf, эксплоиты в scr/bat/exe, эксплоиты для явы/флеша/браузеров.

    Как обычно повышают привилегии на серверах — расшаренные документы на АРМ-ах админов, документы с паролями на самом сервере, wce/аналоги, просто слабые пароли (на тестовых или временных учетных записях), другие способы?

    Нет ли случайно какой-нибудь статистики по этим вопросам, хотя бы общей? Или просто обезличенные интересные случаи? Мне нужно как для себя, так и для информирования пользователей.
  • Как поймать то, чего нет. Часть вторая: снаряд и броня
    0
    Вы можете поделиться ссылками на подробные отчеты о взломах корпоративных сетей, APT — интересуют подробные отчеты — как взломали, через кого/что, если рассылали письма на электронку с эксплоитами, то какими, как повышали привилегии на АРМ-ах и далее на серверах/в домене? Либо подробные разборы атак (как на скриншоте презентации anunak)

    Вот примерно как у этих:
    cyber-berkut.net/old/i5.php (предпоследняя запись)
    www.cyber-berkut.org/traitors/0017.php
  • zabbix_sender over HTTP — как послать данные в Zabbix по HTTP|S
    0
    exec("/usr/local/bin/zabbix_sender -z $zabbix_server_address -p 10051 -s $server -k $key -o $value",$out, $err);
    


    надо же передаваемые параметры заэскейпить? так можно любую команду выполнить.

    + вместо вызова утилиты zabbix_sender можно воспользоваться классом github.com/okitsu/php-zabbix-sender
  • Как поймать то, чего нет. Часть первая. Термины и определения
    +1
    1) 70 000 в день — вроде такое число в видео от касперских про их whitelists покзывали

    2) вирусов, которые выполняют сразу же после запуска деструктивные действия (шифрование, уничтожение информации) — пропускаться не должно ни одного; деятельность всех остальных вирусов должна быть зарегистрирована (не менее чем в 90% случаях) на этапе их закрепления в системе (в автозагрузке и др. местах); ну и неменее 80% местных (=ориентированных на Россию, распространяемых в России) вирусов должны распознаваться как вирусы и блокироваться в пределах 2 дней после их появления (по мере появления сигнатур у разработчика — чем быстрее, тем лучше).

    3) для обычных домашних пользователей — не знаю (кроме того, что вы написали не писать);

    для корпоративных, у которых есть человек, который централизованно следит за регистрируемыми антивирусами событиями и реагирует на них, а именно событий:
    — перехвата вирусов;
    — проактивной защиты (регистрация подозрительной активности программ);
    — хостовой IDS;
    — установки/удаления ПО;
    — контроля ПО по белым/черным спискам/названию/хешу и т.п.;

    для своевременного выявления компьютеров и пользователей, на которые необходимо обратить пристальное внимание, выработки политик использования ПО, политик доступа в интернет, политик предоставления доступа к сетевым сервисам и т.п.
  • В поисках идеального мониторинга
    0
    А как-то решали вопросы агрегации множества e-mail уведомлений в одно? Чтобы некритические уведомления по email отсылались не в режиме 1 уведомление — 1 письмо, а раз в минуту—15 все накопленные алерты объединялись и отсылался дайджест — мол на таких то хостах были такие-то изменения триггеров.

    Я готовое решение для себя не нашел, когда занимался заббиксом; пришлось делать связку:

    bash-скрипт помещения алерта в очередь (отдельным media type в zabbix) => rabbitmq => скрипт по крону разбирает очередь, аггрегирует и отсылает email.
  • JSOC: опыт молодого российского MSSP
    0
    Не подскажете, где можно узнать поподробней о том, что должно выполняться при отнесении к тому или иному уровню SOMM именно в контекте SOC-ов? Т.е. чтобы были не общие формулировки «Level 2 = Выполнение нормативных и бизнес требований», а конкретные показатели — к чему стремиться; что такое ключевые составляющие SOC и т.п.
  • Принципы мониторинга бизнес-приложений
    0
    Спасибо. Судя по демке на сайте, очень круто. Не подскажете еще таких же интересных плагинов для заббикса (направления — контроль качества, интеграция топологии сети (как ввод в заббикс, так и вывод с алертами))?
  • JSOC: как готовить инциденты
    0
    А что для внедрения SOC требуете от заказчика? С какого уровня зрелости организации есть смысл внедрять SOC? Ведь как минимум у заказчика должны быть:
    — система инвентаризации ресурсов (серверов, информсистем, сетевого оборудования, сервисов) с актуальной информацией;
    — должны регулярно обнаруживаться новые ассеты, сервисы;
    — все ассеты должны быть строго категоризированы с точки зрения критичности, типа (веб-сервис) и т.п.;
    — для максимального эффекта от акторов (actors, если правильно помню из документации арксайта), должен быть строгий учет людей и их учеток, а соответственно внедрены IdM-подобные решения;
    — строгие требования к защите серверов и рабочих мест (банальных админских прав быть не должно, запуск сетевых служб на внешних IP должен регламентироваться).
  • Принципы мониторинга бизнес-приложений
    0
    у Zabbix есть специальный плагин

    Не подкажете, что за плагин? Не могу понять.
  • 84% сайтов на WordPress могут быть взломаны: что дальше?
    0
    Не подскажете, как можно сделать такую же подсветку синтаксиса (данных post-запроса), как на скриншоте у PT? Год назад немного знакомился с кибаной (версии 3 вроде).

    И можно ссылку на форк?)