I
Size: a a a
2021 March 23
EP
Вот тут уже у меня вопрос. А где его хранить?
Хороший, правильный вопрос. NTA иногда умеют в это
EP
Про анализ внутренних протоколов и индексацию трафика для ngfw уже сходу не верно
А что именно?
2021 March 24
EP
Хранение сырого трафика ну так себе приемущество. Не ну можно конечно отправлять весь сырой трафик спаном после декрипта на хранилку. Но зачем О_о
Я вроде говорил о таком кейсе. Допустим рул сработал на доступ через WMI, а логи почистили или вырубили. Ответ что происходило можно найти в трафике
I
Я вроде говорил о таком кейсе. Допустим рул сработал на доступ через WMI, а логи почистили или вырубили. Ответ что происходило можно найти в трафике
А кто логи то на ngfw почистил на это срабатывание?
EP
Этож получается на ту же 10гбит кору которую рассматривали 1.3 гигабайта в сек = 86400 гигабайт. 86.4 терабайта в день. А если инцедент 2 недели назад произошел?
Отсюда необходимость мониторинга каждый день) и хранилка хотя бы дня на 3-неделю
EP
А кто логи то на ngfw почистил на это срабатывание?
Не, SIEM или что-то подобное не салертило тк отправку логов отключили сразу после пролома на хосте. Я про такое, NGFW ничего не скажет кроме того что аларм тут был WMI. Он не отдаст выполненных команд и ответов на них
I
Не, SIEM или что-то подобное не салертило тк отправку логов отключили сразу после пролома на хосте. Я про такое, NGFW ничего не скажет кроме того что аларм тут был WMI. Он не отдаст выполненных команд и ответов на них
Если логи о логине вылетели их уже взад не впихнешь. А NGFW салертит на трафик, ему вообще без разницы на логи хоста.
EP
Если подключение разрешенное он просто запишет факт подключения
Ну дак и я о том. Какая разница что оно записано если непонятно что внутри?
EP
Какие там внутри команды были если это был обратный тоннель с хоста куда-то там никто не поймет т.к. там злоумышленник может хоть UART закриптовать - даже если этот трафик выложить проф. аналитику он с этим не разберется
В кейсе с WMI немного не так, стандартный транспорт, он разрешён и это не периметр
I
Ну дак и я о том. Какая разница что оно записано если непонятно что внутри?
Ну да. Потому факт подключения откуда куда будет полезен. А вот дамп трафика бесполезен в обоих случаях
I
В кейсе с WMI немного не так, стандартный транспорт, он разрешён и это не периметр
Ngfw уже давно не ставят только на периметре, через него пропускают внутренний трафик, благо мощности позволяют
EP
Ну да. Потому факт подключения откуда куда будет полезен. А вот дамп трафика бесполезен в обоих случаях
Щас сделаю wmi, дам скрин зачем