Cyber, Cyber… - 148 - SIEM VS Cyberbezpieczeństwo, czyli jak optymalizować monitorowanie zagrożeń
ฝัง
- เผยแพร่เมื่อ 28 ก.ย. 2024
- SOC i monitoring cyberbezpieczeństwa w oparciu o system SIEM wymagają dużego zaangażowania. W podkaście nie tylko odnosimy się do technologii, ale również wyzwań organizacyjnych i procesowych. Rozważamy też kierunki w jakich podążają producenci SIEM-ów oraz dokonujemy próby identyfikacji najważniejszych problemów i przeszkód. Parafrazując klasyka - „co z tym SIEM-em?”. Posłuchaj co mamy do przekazania. Wystąpili: Kamil Gapiński, Piotr Kępski, Maciej Pyznar i Konrad Zwoiński.
Znajdziesz nas również:
🌐 RSS:
www.cybsecurit...
🍏 iTunes:
podcasts.apple...
🎵 Spotify:
open.spotify.c...
🎙️ empik.com:
www.empik.com/...
Nasze projekty i aktualności:
🔗 www.cybsecurit...
Proszę kontynuację o systemach Siem i soar z chęcią bym posłuchał więcej na ten temat. Może właśnie o budowaniu scenariuszy
Trochę już o tym rozmawialiśmy, chyba jeszcze w 2018 r. Chętnie powtórzymy ten temat zahaczając właśnie o SOAR-y. Dziękujemy za dobre słowo! :)
SIEM to jest najtrudniejszy system do wdrożenia globalnie. W większości firm SIEM wdrażany jest przez firmę, która go sprzedaje, wpinając wszystkie źródła jeszcze zanim pracownicy w ogóle do niego zasiądą. Efekt jest taki, że przy pierwszym kontakcie z systemem masz zalogowane już miliony zdarzeń, które są od Sasa do Lasa - od logów macierzy RAID w jednym systemie, do dziennika application zalewanego logami przez błędy aplikacji, o której słyszysz pierwszy raz w życiu. Do tego przez same firmy to jest sytuacja pożądana, bo jeżeli logi są to znaczy że w kwitach system jest monitorowany nie? W dodatku w większości SIEM'ów subskrybujesz konkretny dziennik, i nie masz dobrej możliwości filtrowania via EventID albo via Regex. Żeby filtrować skutecznie, trzeba na ogół postawić dodatkowe forwardery, i tam via syslogng filtrować logi regexami.
Inna sprawa że "sprawdzone, renomowane SIEM'y" stoją na bazach relacyjnych i zanim cokolwiek wyszukają jesteś już w innej firmie ;)
Konia z rzędem temu, kto wytłumaczy ludziom, że posiadanie w SIEM'ie Security + Sysmon + System + BZAR na IDS daje lepszą informację niż logowanie wszystkiego co się da. Dobry spec, który siedzi w temacie ładnych parę lat nawet nie potrzebuje specjalnie parsowania całych logów bo zna na pamięć numerki eventid i sprawnie używa full text searcha.
Powiedzieliście sporo mądrych rzeczy, ale diabeł tkwi w szczegółach, których nie podaliście ;) Staracie się mówić ogólnie o rzeczach do których trzeba wejść w technikalia.
Dzięki za świetny komentarz. Niestety musimy zachowywać balans między technikaliami a sprawami bardziej organizacyjnymi, menedżmentowymi. Postaramy się odnieść do Twojego komentarza w następnych podcastach. Zapraszamy także do kontaktu bezpośredniego, może uda się wspólnie porozmawiać :) Pozdrawiam, Kamil z FBC.
@@cybsecurity Hej, nie jest to krytyka waszego podcastu, widać że rozmówcy świetnie wiedzą co jest grane ;) Obawiam się niestety że ugryzienie większosci tematów po prostu wymaga wejścia w technikalia - ja świetnie rozumiem to o czym mówiliście bo mam kontekst, ale taki manager który sam przed kompem nie siedzi może nabrać fałszywej pewności że po przesłuchaniu podcastu zacznie wiedzieć co robi ;) Obydwaj wiemy że to nieprawda i zinterpretowanie tego co mówiliście wymaga backgroundu i doświadczenia ;)