avpavlov 25 янв 2017 в 10:25

ПРАВИЛьная кухня

10 мин

11K

Блог компании СоларSaaS / S+S*Анализ и проектирование систем*Информационная безопасность*

+17

Комментарии 6

zhylik 26 фев 2017 в 22:52

Расскажите, пожалуйста, про интересные инциденты — такие как на http://www.securitylab.ru/analytics/473903.php, в особенности про инциденты, выявленные на уровне бизнес-процессов (как с кредитом по ссылке). И какие правила помогли их найти.

avpavlov 27 фев 2017 в 16:12

Добрый день!
Как раз такие публикации и планируются в ближайшее время. Постараюсь подробно осветить и механизм обследования бизнес-процессов и инфраструктуры в целом для подключения к JSOC. Обязательно расскажу про процедуру создания нетиповых правил и профилирования активностей.

zhylik 26 фев 2017 в 23:05

добавления в события недостающей информации – имени пользователя, информации о владельце учетной записи из кадровой системы, дополнительного описания хостов из CMDB

А как переносите и актуализируете эти сведения из этих систем в SIEM? Вручную самостоятельно по выгрузкам, пишете модули интеграции, или к примеру есть промежуточный инструмент, который позволяет клиентам вносить информацию?

avpavlov 27 фев 2017 в 16:14

Чаще всего пишется парсер для flex-коннекторов различных типов, который читает файл, смотрит базу или парсит syslog. А выгрузка на стороне системы делается регулярной любым способом — хоть скрипт, хоть руки

zhylik 26 фев 2017 в 23:10

А Arcsight позволяет писать свои парсеры логов? В QRadar столкнулись с тем, что для парсинга можно использовать только регулярки и к примеру перевести лог, ведущийся в формате JSON/XML, с помощью функций сием проблематично/не эффективно/невозможно.

avpavlov 27 фев 2017 в 16:16

ArcSight позволяет писать парсеры, так же понимает CEF, JSON. Парсеры могут содержать регулярки или select`ы в базу. Каждый случай решается индивидуально, но возможностей великое множество.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий