Комментарии 6
За Moloch спасибо, интересный инструмент.
Extpack VirtualBox имеет лицензионные ограничения на использование.
Это какой-то учитывается?
Учитывается, пока не выходит за рамки личного использования, если подрастёт до тиражжиования сервиса, как услуги — лицензия будет нужна конечно. Но скорее придётся отказаться от Extpack, слегка повысив маржинальность, так-как после конфигурации ВМ он не сильно нужен и может быть с лёгкомтью заменён VNC.
Про Кукушку все понятно, а вот остальные продукты (thehive, MISP) вы действительно внедрили или все пока на уровне предположений и планов? Было бы интересно узнать: как ранжируются инциденты в thehive без данных об активах? Как интегрировали МЭ с MISP, а также антивирус, особенно если это KES.
Привязка к активам — вещь достаточно спорная, и на конец 2017 года, российские вендоры IRP не поддерживали и не планировали поддерживать multitenancy, а это потиворечило выбранной нами бизнес-модели ИБ.
TheHive позволяет расширить функционал, добавив любое поле, любого типа и любые метрики. Можно добавить поле «Активы», а наполнять его напрямую в БД ElasticSearch, используемую в TheHive, через LogStash, который гарантированно дружит с каспером и с CMDB, наприер с iTop. Или даже пойти правильным путём и использовать API TheHive4Py.
>>вы действительно внедрили или все пока на уровне предположений и планов?
Внедрили, используем и сейчас на этапе автоматизации уже. Основные трудности не в описанном выше архитектурном стеке, а в разработке, стандартизации и оптимизации бизнес-процессов KB, реагирования и расследования инциднтов ИБ.
TheHive позволяет расширить функционал, добавив любое поле, любого типа и любые метрики. Можно добавить поле «Активы», а наполнять его напрямую в БД ElasticSearch, используемую в TheHive, через LogStash, который гарантированно дружит с каспером и с CMDB, наприер с iTop. Или даже пойти правильным путём и использовать API TheHive4Py.
>>вы действительно внедрили или все пока на уровне предположений и планов?
Внедрили, используем и сейчас на этапе автоматизации уже. Основные трудности не в описанном выше архитектурном стеке, а в разработке, стандартизации и оптимизации бизнес-процессов KB, реагирования и расследования инциднтов ИБ.
По ранжиованию — в TheHive можно создать шаблоны инцдентов, которые будут применяться в соответствии с определёнными условиями к инциднтам(кейсам), заполняя все предопределённые поля, TLP, таски, префиксы к заголовкам и т.д… Всё это потом может изменить аналитик, получив дополнительные сведения по инциденту от группы реагироания.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Cuckoo 2.0. Собираем лучшую open source платформу анализа вредоносных файлов