Вы все логи в сием шлете? Не делали промежуточных сборщиков на чем-нибудь бесплатном (logshash) c предварительной фильтрацией и отправкой на сием только важных (некий первый, грубый уровень фильтрации)? Очень уж дорогой каждый EPS.
В чем инвентаризируете инфраструктуру — где описываете что за каким IP закреплено, тип сервера, что за система что за сервисы, критичность — для дальнейшей загрузки в сием и корреляции?
Что предварительно сделали с инфраструктурой перед внедрением сиемки (инвентаризация, политики и проч) и по ходу развития?
Вообще у вас насколько большая инфраструктура, которую мониторите, какой ее состав (больше маршрутизаторы/ком. обрудование или информсистемы), и какой поток EPS обрабатывает SIEM? И во сколько все это обошлось (хотя бы порядок цен)
Про полномочия, интеграцию с LDAP, маппингом AD-шных групп вчера прочитал и немного понял. На уровне документации все здорово выглядит.
т.к. русский язык не поддерживается на 100%
А можете еще о проблемах с русским, кроме словоформ рассказать? С ними понятно — что без нормальных внешних поисковых движков типа сфинкса или еще чего-нибудь поиск всегда будет такой. Поддерживаются ли русские названия страниц и пространств полностью? В медиавики русское название — с пробелами и прочим — можно писать прямо в адресной строке браузера (wiki.ru/wiki/Моя статья), а в примерах XWiki, что я видел, BestPractice почему-то на английском. Не придется ли авторам статей создавать дополнительные названия страниц на английском?
К сожалению, пока не на работе, испытать негде (дома м.б. попробую), а в песочнице на playground.xwiki.org я не могу править и создавать странички — не появляется кнопка правки после регистрации.
Как в xwiki с разграничением доступа? Можно для отдельных страничек в space разрешить чтение только отдельной группе пользователей? И будет ли при этом работать корректно поиск — в медиавики вроде бы все ACL-расширения костыльные — в поиске выводится все.
Есть ли возможность автоматически нумеровать статьи и в дальнейшем искать их по номеру — например, KB123456? И чтобы этот номер выводился на самой страничке. Т.е. было и номальный заголовок и номер. В медиавики такой модуль не нашел (можно сделать костылем с mod_rewrite, но поиск по номеру статьи работать не будет).
Продавцы и операторы колл-центра обычно скриптуются по самое не балуйся так, чтобы неожиданностей (для нас) в разговоре не было. Мы обучаем этим скриптам и потом показываем, что делать по ним не надо.
А не подскажете, в каких программах можно «заскриптовать» логику и порядок вопросов, задаваемых например первой линией звонящему? Читал и немного смотрел про BPM-системы (из открытых — camunda), но мне показалось, что они очень сложны и немного для других целей. Хотелось бы иметь возможность накидать порядок вопросов, варианты ответов, список вещей, которые надо запросить и т.п. И чтобы набор вопросов, появляющихся на каждом шаге мастера, зависел от ответов на предыдущие вопросы.
Понимаю, что можно напрограммировать всю нужную логику, но хотелось бы настраивать такое через интерфейс — натыкиванием мышкой.
А почему остановили свой выбор на Arcsight? Среди каких сием-систем выбирали? Расскажите, пожалуйста, что не понравилось (не хватало) в той же QRadar или сием от макафи? Вопрос стоимости был не во главе (или арксайт по совокупности не намного дороже других сием)?
А как сливаете — клиенты инициируют отправку или коллектор опрашивает клиентов и загружает логи? Работает ли это все дело, если клиент за НАТом (первый вариант сбора логов, разумеется)?
Вы сами пользовались форвардингом большого количества событий (не выборочно, а прямо все события из Security лога) с большого количества раб. станций? Сколько событий/сек может нормально обрабатывать 1 сервер-коллектор?
В общем и целом самая страшная опасность (по недооцененности) — сайты, открытые по корпоративной надобности, уверенность, что там все нормально. Проблема в том, что все иные пути проникновения можно перекрыть, а этот — нет.
Хм. А хотя бы в общем — как много сталкивались с успешной социальной инженерией для проникновения на АРМ через электронку, соцсети? Какие направления использовались злоумышленниками — сплоиты в документах word/excel/pdf, эксплоиты в scr/bat/exe, эксплоиты для явы/флеша/браузеров.
Как обычно повышают привилегии на серверах — расшаренные документы на АРМ-ах админов, документы с паролями на самом сервере, wce/аналоги, просто слабые пароли (на тестовых или временных учетных записях), другие способы?
Нет ли случайно какой-нибудь статистики по этим вопросам, хотя бы общей? Или просто обезличенные интересные случаи? Мне нужно как для себя, так и для информирования пользователей.
Вы можете поделиться ссылками на подробные отчеты о взломах корпоративных сетей, APT — интересуют подробные отчеты — как взломали, через кого/что, если рассылали письма на электронку с эксплоитами, то какими, как повышали привилегии на АРМ-ах и далее на серверах/в домене? Либо подробные разборы атак (как на скриншоте презентации anunak)
1) 70 000 в день — вроде такое число в видео от касперских про их whitelists покзывали
2) вирусов, которые выполняют сразу же после запуска деструктивные действия (шифрование, уничтожение информации) — пропускаться не должно ни одного; деятельность всех остальных вирусов должна быть зарегистрирована (не менее чем в 90% случаях) на этапе их закрепления в системе (в автозагрузке и др. местах); ну и неменее 80% местных (=ориентированных на Россию, распространяемых в России) вирусов должны распознаваться как вирусы и блокироваться в пределах 2 дней после их появления (по мере появления сигнатур у разработчика — чем быстрее, тем лучше).
3) для обычных домашних пользователей — не знаю (кроме того, что вы написали не писать);
для корпоративных, у которых есть человек, который централизованно следит за регистрируемыми антивирусами событиями и реагирует на них, а именно событий:
— перехвата вирусов;
— проактивной защиты (регистрация подозрительной активности программ);
— хостовой IDS;
— установки/удаления ПО;
— контроля ПО по белым/черным спискам/названию/хешу и т.п.;
для своевременного выявления компьютеров и пользователей, на которые необходимо обратить пристальное внимание, выработки политик использования ПО, политик доступа в интернет, политик предоставления доступа к сетевым сервисам и т.п.
А как-то решали вопросы агрегации множества e-mail уведомлений в одно? Чтобы некритические уведомления по email отсылались не в режиме 1 уведомление — 1 письмо, а раз в минуту—15 все накопленные алерты объединялись и отсылался дайджест — мол на таких то хостах были такие-то изменения триггеров.
Я готовое решение для себя не нашел, когда занимался заббиксом; пришлось делать связку:
bash-скрипт помещения алерта в очередь (отдельным media type в zabbix) => rabbitmq => скрипт по крону разбирает очередь, аггрегирует и отсылает email.
Не подскажете, где можно узнать поподробней о том, что должно выполняться при отнесении к тому или иному уровню SOMM именно в контекте SOC-ов? Т.е. чтобы были не общие формулировки «Level 2 = Выполнение нормативных и бизнес требований», а конкретные показатели — к чему стремиться; что такое ключевые составляющие SOC и т.п.
Спасибо. Судя по демке на сайте, очень круто. Не подскажете еще таких же интересных плагинов для заббикса (направления — контроль качества, интеграция топологии сети (как ввод в заббикс, так и вывод с алертами))?
Вы все логи в сием шлете? Не делали промежуточных сборщиков на чем-нибудь бесплатном (logshash) c предварительной фильтрацией и отправкой на сием только важных (некий первый, грубый уровень фильтрации)? Очень уж дорогой каждый EPS.
В чем инвентаризируете инфраструктуру — где описываете что за каким IP закреплено, тип сервера, что за система что за сервисы, критичность — для дальнейшей загрузки в сием и корреляции?
Что предварительно сделали с инфраструктурой перед внедрением сиемки (инвентаризация, политики и проч) и по ходу развития?
Вообще у вас насколько большая инфраструктура, которую мониторите, какой ее состав (больше маршрутизаторы/ком. обрудование или информсистемы), и какой поток EPS обрабатывает SIEM? И во сколько все это обошлось (хотя бы порядок цен)
Про полномочия, интеграцию с LDAP, маппингом AD-шных групп вчера прочитал и немного понял. На уровне документации все здорово выглядит.
А можете еще о проблемах с русским, кроме словоформ рассказать? С ними понятно — что без нормальных внешних поисковых движков типа сфинкса или еще чего-нибудь поиск всегда будет такой. Поддерживаются ли русские названия страниц и пространств полностью? В медиавики русское название — с пробелами и прочим — можно писать прямо в адресной строке браузера (wiki.ru/wiki/Моя статья), а в примерах XWiki, что я видел, BestPractice почему-то на английском. Не придется ли авторам статей создавать дополнительные названия страниц на английском?
К сожалению, пока не на работе, испытать негде (дома м.б. попробую), а в песочнице на playground.xwiki.org я не могу править и создавать странички — не появляется кнопка правки после регистрации.
Как в xwiki с разграничением доступа? Можно для отдельных страничек в space разрешить чтение только отдельной группе пользователей? И будет ли при этом работать корректно поиск — в медиавики вроде бы все ACL-расширения костыльные — в поиске выводится все.
Есть ли возможность автоматически нумеровать статьи и в дальнейшем искать их по номеру — например, KB123456? И чтобы этот номер выводился на самой страничке. Т.е. было и номальный заголовок и номер. В медиавики такой модуль не нашел (можно сделать костылем с mod_rewrite, но поиск по номеру статьи работать не будет).
А не подскажете, в каких программах можно «заскриптовать» логику и порядок вопросов, задаваемых например первой линией звонящему? Читал и немного смотрел про BPM-системы (из открытых — camunda), но мне показалось, что они очень сложны и немного для других целей. Хотелось бы иметь возможность накидать порядок вопросов, варианты ответов, список вещей, которые надо запросить и т.п. И чтобы набор вопросов, появляющихся на каждом шаге мастера, зависел от ответов на предыдущие вопросы.
Понимаю, что можно напрограммировать всю нужную логику, но хотелось бы настраивать такое через интерфейс — натыкиванием мышкой.
github.com/kbandla/APTnotes
Куча отчетов
Это как так произошло — как ее выкинуло? Как опредило, что шифрует? Какая-то IPS? Или вы вручную выявили источник и заблокировали?
Да, это было бы интересно) Если можно — как можно больше подробностей. Шифровщики — больная тема
ZIP — эксплотировали что-то виндовое? Или у архиватора?
Про архив тоже интересно — архив со скриптами/исполнительными файлами или чем-то другим?
Хм. А хотя бы в общем — как много сталкивались с успешной социальной инженерией для проникновения на АРМ через электронку, соцсети? Какие направления использовались злоумышленниками — сплоиты в документах word/excel/pdf, эксплоиты в scr/bat/exe, эксплоиты для явы/флеша/браузеров.
Как обычно повышают привилегии на серверах — расшаренные документы на АРМ-ах админов, документы с паролями на самом сервере, wce/аналоги, просто слабые пароли (на тестовых или временных учетных записях), другие способы?
Нет ли случайно какой-нибудь статистики по этим вопросам, хотя бы общей? Или просто обезличенные интересные случаи? Мне нужно как для себя, так и для информирования пользователей.
Вот примерно как у этих:
— cyber-berkut.net/old/i5.php (предпоследняя запись)
— www.cyber-berkut.org/traitors/0017.php
надо же передаваемые параметры заэскейпить? так можно любую команду выполнить.
+ вместо вызова утилиты zabbix_sender можно воспользоваться классом github.com/okitsu/php-zabbix-sender
2) вирусов, которые выполняют сразу же после запуска деструктивные действия (шифрование, уничтожение информации) — пропускаться не должно ни одного; деятельность всех остальных вирусов должна быть зарегистрирована (не менее чем в 90% случаях) на этапе их закрепления в системе (в автозагрузке и др. местах); ну и неменее 80% местных (=ориентированных на Россию, распространяемых в России) вирусов должны распознаваться как вирусы и блокироваться в пределах 2 дней после их появления (по мере появления сигнатур у разработчика — чем быстрее, тем лучше).
3) для обычных домашних пользователей — не знаю (кроме того, что вы написали не писать);
для корпоративных, у которых есть человек, который централизованно следит за регистрируемыми антивирусами событиями и реагирует на них, а именно событий:
— перехвата вирусов;
— проактивной защиты (регистрация подозрительной активности программ);
— хостовой IDS;
— установки/удаления ПО;
— контроля ПО по белым/черным спискам/названию/хешу и т.п.;
для своевременного выявления компьютеров и пользователей, на которые необходимо обратить пристальное внимание, выработки политик использования ПО, политик доступа в интернет, политик предоставления доступа к сетевым сервисам и т.п.
Я готовое решение для себя не нашел, когда занимался заббиксом; пришлось делать связку:
bash-скрипт помещения алерта в очередь (отдельным media type в zabbix) => rabbitmq => скрипт по крону разбирает очередь, аггрегирует и отсылает email.