Задать вопрос
xmoonlight

xmoonlight

https://sitecoder.blogspot.com
Лайки

  • Где посмотреть примеры правил корреляции (use cases) для SIEM?

    box4
    @box4
    для начало:

    Events of Interest

    User Authentication Rules and Alerts
    1. Repeat Attack-Login Source
    Goal: Early warning for brute force attacks, password guessing, and misconfigured applications.
    Trigger: Alert on 3 or more failed logins in 1 minute from a single host.
    Event Sources: Active Directory, Syslog (Unix Hosts, Switches, Routers, VPN), RADIUS, TACACS, Monitored Applications

    2. Repeat Attack-Login Target
    Goal: Early warning for brute force attacks, password guessing, and misconfigured applications.
    Trigger: Alert on 3 or more failed logins in 1 minute on a single user ID
    Event Sources: Active Directory, Syslog (Unix Hosts, Switches, Routers, VPN), RADIUS, TACACS, Monitored Applications.

    Attacks Detected on the Network
    3. Repeat Attack-Firewall
    Goal: Early warning for scans, worm propagation, etc
    Trigger: Alert on 15 or more Firewall Drop/Reject/Deny Events from a single IP Address in one minute.
    Event Sources: Firewalls, Routers and Switches

    4. Repeat Attack-Network Intrusion Prevention System
    Goal: Early warning for scans, worm propagation, etc
    Trigger: Alert on 7 or more IDS Alerts from a single IP Address in one minute.
    Event Sources: Network Intrusion Detection and Prevention Devices

    Attacks and Infections Detected at the Host Level
    5. Repeat Attack-Host Intrusion Prevention System
    Goal: Find hosts that may be infected or compromised (exhibiting infection behaviors).
    Trigger: Alert on 3 or more events from a single IP Address in 10 minutes
    Event Sources: Host Intrusion Prevention System Alerts

    Virus Detection/Removal
    6. Virus or Spyware Detected
    Goal: Alert when a virus, spyware or other malware is detected on a host.
    Trigger: Alert when a single host sees an identifiable piece of malware
    Event Sources: Anti-Virus, HIPS, Network/System Behavioral Anomaly Detectors

    7. Virus or Spyware Removed
    Goal: Reduce alerts and warnings, if after detection, anti-virus tools are able to remove a known piece of malware.
    Trigger: Alert when a single host successfully removes a piece of malware
    Event Sources: Anti-Virus, HIPS, Network/System Behavioral Anomaly Detectors

    8. Virus or Spyware Detected but Failed to Clean
    Goal: Alert when >1 Hour has passed since malware was detected, on a source, with no corresponding virus successfully removed.
    Trigger: Alert when a single host fails to auto-clean malware within 1 hour of detection.
    Event Sources: Anti-Virus, HIPS, Network/System Behavioral Anomaly Detectors

    Attacks from Unknown/Untrusted Sources
    The use of periodic automatically updated lists of known attackers and malware sources applied to these correlations is highly preferred.
    9. Repeat Attack-Foreign
    Goal: Identify remote attackers before they make it into the network. Identify "back scatter" pointing to attacks that may have not been detected by other sources.
    Secondary Goal: This rule also identifies new networks with active hosts that have been added to the internal network, but not reported or configured within the SIEM and/or other security tools.
    Trigger: Alert on 10 or more failed events from a single IP Address that is not part of the known internal network.
    Event Sources: Firewall, NIPS, Anti-Virus, HIPS, Failed Login Events

    10. Known Attacker Allowed in Network
    Goal: Identify allowed traffic form known "Black listed" sources. If the source is known to be a source of malware or an attack, identify and alert if that source is every allowed into the network,
    while conversely filtering out/ignoring "drop/reject/deny" events from these sources when our defenses properly block the traffic.
    Trigger: Alert on ANY Allowed (i.e. Firewall Accept, Allowed Login), events from an IP Address that is not part of the known network and is known to have/use malware.
    Event Sources: Firewall, NIPS, Anti-Virus, HIPS, Failed Login Events

    11. Traffic to Known Attacker
    Goal: Identify traffic from an internal address to known "black listed" destination is known to be a source of malware or an attack, identify and alert if traffic is ever allowed to that destination, or if repeat attempts (>5) are detected even when the traffic is blocked. This may indicate an infected host trying to call home.
    Trigger: Alert on ANY Allowed (i.e. Firewall Accept, Allowed Login), event to an IP Address that is not part of the known network and is known to have/use malware.
    Alternate Trigger: Alert on 5 or more drops from an internal source to any known attacker, or 1 Accept/Allow.
    Event Sources: Firewall, NIPS, Anti-Virus, HIPS, Failed Login Events.

    High Threat
    12. High Threat Targeting Vulnerable Asset
    Goal: Identify threats in real time that are likely to compromise a host. Vulnerability data has shown the host to be vulnerable to the inbound attack being detected by NIPS.
    Trigger: Any event from a single IP Address targeting a host known to be vulnerable to the attack that`s inbound.
    Event Sources: NIPS events, Vulnerability Assessment data

    13. Repeat Attack-Multiple Detection Sources
    Goal: Find hosts that may be infected or compromised detected by multiple sources (high probability of true threat).
    Trigger: Alert on ANY second threat type detected from a single IP Address by a second source after seeing a repeat attack. (i.e. Repeat Firewall Drop, followed by Virus Detected)
    Event Sources: Firewall, NIPS, Anti-Virus, HIPS, Failed Login Events.

    14. Possible Outbreak - Excessive Connections
    Goal: Find hosts that may be infected or compromised by watching for a host to connect to a large number of destinations.
    Trigger: Alert when a single host connects to 100 or more unique targets in 1 minute (must apply white lists for known servers to avoid false positives, and destination port !=80).
    Event Sources: Firewall, NIPS, Flow Data, and Web Content Filters.

    15. Possible Outbreak - Multiple Infected Hosts Detected on the Same Subnet
    Goal: Alert on the detection of malware before it spreads beyond a limited number of hosts.
    Trigger: Alert when 5 or more hosts on the same subnet trigger the same Malware Signature (AV or IDS) within a 1 hour interval.
    Event Sources: Anti-Virus, HIPS, NIPS.

    Web Servers (IIS, Apache)
    16. Suspicious Post from Untrusted Source
    Goal: Alert when dangerous content (executable code) is posted to a web server.
    Trigger: Files with executable extensions (cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat), are posted to a web server (internal/dmz address), from an external source
    Event Sources: Internet Information Server and Apache Logs

    Monitored Log Sources
    17. Monitored Log Source Stopped Sending Events
    Goal: Alert when a monitored log source has not sent an event in 1 Hour (variable time based on the device).
    Trigger: Log collection device must create an event periodically to show how many events have been received, and that this number is >0.
    Event Sources: Log collection device.
    Ответ написан
    2 комментария
    2 комментария

  • Как хранить медицинские,личные документы на носителе?

    asilonos
    @asilonos
    Программист
    Veracrypt - Windows, Mac, Linux. Windows BitLocker - родное. Rohos Disk - удобнее, есть двухфакт. аутентификация, но уже платно.
    Ответ написан
    Комментировать
    Комментировать

  • Мне устроили ддос на mysql?

    @killvapllik
    ...
    netstat -planet |grep ESTAB | grep 3306 | wc -l

    Смотришь коннекты.
    Потом смотришь запросики в бд
    Потом втыкаешь в фаервол и блочишь все, кроме нужного порта.
    Смотришь логи - там так или иначе будет видно что да как.
    Ну и это- блочишь коннекты к бд с определенного хоста. все.
    Если хочется поиграться с файрволом- fail2ban- покури в эту сторону.
    Рост нагрузки не всегда связан с ддос, мб диски деградировали, или где то что то недопилино.. ну и это- место проверь)
    Ответ написан
    1 комментарий
    1 комментарий

  • Как сделать Windows 10 безопаснее без антивируса?

    Jump
    @Jump Куратор тега Windows
    Системный администратор со стажем.
    Как сделать Windows 10 безопаснее без антивируса?
    Ну во первых там есть встроенный антивирус от майкрософта, который существует еще со времен Windows 7, и прекрасно работает, практически не влияя на быстродействие.

    Во вторых - любой даже самый лучший антивирус не обеспечивает полной и гарантированной защиты. Например те же шифровальщики эпидемия которых была года три назад по большей части не содержали вирусного кода, и не определялись антивирусом.

    Отличная система защиты это UAC - работает по принципу sudo в Linux. Он отсекает кучу проблем защищая любителей работать с правами администратора.

    На данный момент наилучшей защитой является грамотная работа с правами.
    Не работайте под админом - вы же не каждый день ставите софт, если надо поставить не трудно набрать пароль от админской учетки.
    Ограничивайте права на запуск программ откуда попало с помощью политик - в идеале запуск разрешен только из специальных папок - Windows и ProgrammFiles, а с других мест запрещен. В итоге даже если зловред попадет на компьютер - в системную папку он не попадет, ибо прав нет, а из другой просто не запустится ибо запрет.
    Для офисных компьютеров идеальная вещь. И не надо думать что это только в домене - все работает и без домена прекрасно.

    Ну и одна из самых эффективных, простых и доступных защит - банальный бэкап системы.
    Тут следует оговорится - он защищает от утраты, и повреждения данных, но не защищает от утечки.
    Если вы не храните на ПК сверхсекретной информации, утечка которой способна нанести миллионый ущерб, то можно этой защитой и ограничится.
    Настраиваете бэкап и спокойно работаете - если вдруг словите что-то нехорошее, просто откатываетесь назад.
    Нажатие одной кнопки и за 5-10минут система откатится к точке бэкапа и вы получите работающую систему со всеми файлами.
    Причем встроенная система бэкапа идущая "из коробки" вполне конкурентоспособна и неплохо работает, поэтому можно использовать ее.

    Множество неприятностей идет из браузера и тут неплохо справляются альтернативные DNS например от Яндекса, которые просто не резольвят вредоносные сайты.
    Так же эффективен ADblock хоть он и создан немного для другого.

    Плюс немного осмотрительности - внимательно следите откуда качаете софт, следите за расширениями файлов.
    Не запускайте разнообразные файлы типа хороший_фильм.torrent.exe или скан_накладной.exe
    Если вы невнимательны - смотрите выше про UAC и политики ограниченного использования программ.
    Ответ написан
    3 комментария
    3 комментария

  • Как стать знатоком в области информационной безопасности?

    takezi
    @takezi
    Intelligent people are full of doubts.
    Нужно иметь технический бэкграунд (сети, протоколы, системы и т.д.) Если этого нет - с этого и начните.
    Курсов полно, и платных и бесплатных.
    Ответ написан
    Комментировать
    Комментировать

  • Какой рынок программирования НЕ «перегрет»?

    saboteur_kiev
    @saboteur_kiev Куратор тега Карьера в IT
    software engineer
    Вообще замерзает рынок специалистов уровня сеньор.
    Вакансии висят месяцами и годами.

    Не перегрет рынок уровня мид. Вакансий полно.

    Вот на уровне джуниор - там полно вайтишников, а вакансий мало, потому что никому не нужны люди, которые приходят на работу учиться, и строить карьеру, а не работать.

    Поэтому выбирайте любую область, которая вам нравится, чтобы лично у вас была заинтересованность и желание дойти до приемлимой квалификации.
    Ответ написан
    2 комментария
    2 комментария

  • Если сохранить cookie в браузере с помощью JS, то передастся ли cookie на сервер?

    DevMan
    @DevMan
    созданная кука улетит на сервер при следующем запросе.
    Ответ написан
    Комментировать
    Комментировать

  • Правда ли что рынок веб разработки "перегрет"?

    OTCloud
    @OTCloud
    Программирование и Архитектура ПО
    100% перегрет, но не программистами или веб-мастерами, а индивидами, которые решили что веб это просто и легко и не стоит сильно париться над своими скиллами и знаниями.
    Ответ написан
    8 комментариев
    8 комментариев

  • Генерация json с вложенными объектами?

    ThunderCat
    @ThunderCat Куратор тега PHP
    {PHP, MySql, HTML, JS, CSS} developer
    создаете пустой массив А
    внутри цикла :
    создаете пустой массив Б
    вносите в массив Б пары ключ=>значение ваших данных
    присваиваете массив Б как новое значение в А
    после цикла можете кодировать А в json, получите то что хотели.
    Ответ написан
    Комментировать
    Комментировать

  • Влезли в телефон?

    sim3x
    @sim3x
    Карточка с телефонным номером с 2FA ставится в старый кнопочный телефон
    Данный номер не знает никто кроме владельца и сервисов
    Ответ написан
    3 комментария
    3 комментария

  • Как вернуться в Информационную Безопасность?

    opium
    @opium
    Просто люблю качественно работать
    Судя по описанию вы уже вернулись
    И надо делать самое тупое найти работу и работать
    Ответ написан
    Комментировать
    Комментировать

  • Возможно ли таким способом обезопасить почтовый ящик?

    POS_troi
    @POS_troi
    СадоМазо Админ, флудер, троль.
    Нормальный пароль + двухфакторная авторизация = спасённый отец демократии.
    И не занимайтесь фигнёй)
    Ответ написан
    Комментировать
    Комментировать

  • Есть ли смысл маскировать админку под 404?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Если вам важно, чтобы юзер знал, что по этому адресу что-то есть, но у него нет прав (но в теории права могут появиться), то 403 или даже что-то более вразумительное, иначе можно 404.

    Если вы защищаетесь от взлома и от лишней нагрузки на сайт, то лучше сделать админку с другим именем. Хотя в плане безопасности это так себе решение.

    Так что ответ - нет, не имеет смысла.
    Ответ написан
    Комментировать
    Комментировать

  • Для того, чтобы обезопасить свой сайт, достаточно ли преобразования трех символов: &, < и >?

    dollar
    @dollar
    Делай добро и бросай его в воду.
    Достаточно одного символа <
    Но тема безопасности обширнее, чем только противодействие XSS.
    Ответ написан
    Комментировать
    Комментировать

  • Есть ли CMS для почтового сайта?

    andrashh
    @andrashh
    Почему бы и да?
    Сайт. Почти у любого хостинга используется на сервере.
    Ответ написан
    2 комментария
    2 комментария

  • Как избавиться от полосы внизу веб-страницы в chrome?

    @vardoLP
    Ват ю сэй эбаут май мама?!
    Ссылку бы дали на сайт. Было бы гораздо проще помочь вам!
    Ответ написан
    9 комментариев
    9 комментариев

  • Правда ли, что сейчас так сложно найти работу?

    Zoominger
    @Zoominger
    System Integrator
    Сложилось впечатление, что рынок очень сильно переполнен

    Верное впечатление.

    А как при таком раскладе, ищут работу люди ниже уровня сеньора?

    В целом, страшно только в сфере веба, нормальные программисты ищут работу относительно легко.

    Может уже прошли те золотые it времена

    Да. Теперь это бизнес.

    весь хайп о "молочных реках и кисельных берегах" выгоден только вайтишным курсам?

    Да.
    Ответ написан
    17 комментариев
    17 комментариев

  • Где вести блог о разработке своей игры?

    GavriKos
    @GavriKos Куратор тега Разработка игр
    1) В ВК есть аудитория - только ее надо привлечь. Ну собственно как и почти везде.
    2) Да, лучше профильные сайты. Самый простой - gamedev.ru, там специальный раздел есть для проектов в разработке.
    3) Я бы еще посоветовал твиттер.
    Ответ написан
    1 комментарий
    1 комментарий

  • Как можно более удобно редактировать html разметку?

    robinzonejob
    @robinzonejob
    разработчик .NET
    Во многих IDE есть функция автоформатирования, которая привязывается к определенным горячим клавишам или сочетанию клавиш в настройках.
    Например в VS Code под Windows по умолчанию - это Shift + Alt + F, насколько я помню.
    Ответ написан
    1 комментарий
    1 комментарий

  • Как обнаружить скрытые вредоносные процессы в системе?

    Jump
    @Jump Куратор тега Windows
    Системный администратор со стажем.
    Простых способов нет.
    Гарантированных способов не существует.
    Только анализ поведения - что за программа, что делает, есть ли подпись, не совпадают ли сигнатуры.
    Вирус обнаружить проще.
    А вредоносная программа зачастую технически ничем не отличается от полезной, поэтому программно ее детектировать во многих случаях невозможно.
    Ответ написан
    Комментировать
    Комментировать