Splunk. Shodan. Интеграция Shodan и Splunk.

Приветствую, уважаемый читатель!

Мне очень импонируют сообщества и специалисты, которые безвозмездно предоставляют какую-либо полезную информацию или полезные аналитические инструменты. Одним из лидеров тут является поисковик Shodan, с помощью которого можно найти и узнать очень много всего! О нем сегодня и поговорим.

Windows. QoS. Нестандартное использование

Приветствую, уважаемый читатель!

Иногда отсутствие финансовых возможностей заставляет искать нестандартные решения для, казалось бы, простых задач в области ИБ (например, контроль активности пользователей). Результатом таких изысканий может быть контроль ПО с помощью WinEvent Log и визуализация в Splunk - http://unitybas.blogspot.ru/2016/12/windows_8.html , а может маркирование трафика, который уходит в сеть с компьютера пользователя. Про это чуть подробнее. J

Континент-АП. Базовая настройка МЭ.

Приветствую, уважаемый читатель!

Недавно столкнулся с необходимостью настроить межсетевой экран СКЗИ Континент-АП по принципу белого списка. Задача несложная, но есть некоторые особенности применительно к данному программному продукту. Решил поделиться, вдруг кому пригодится и лень долго читать инструкции.

Splunk. PowerShell. Осторожно, "лидирующий ноль".

Приветствую, уважаемый читатель!

  

Хочу поделиться историей о том, как можно при парсинге log-файлов неожиданно недосчитаться большого количества событий из-за нехватки нулей, а формат даты и времени перестает быть просто формальностью, которую SIEM "и так проглотит".   

Splunk. Savedsearch. Оптимизация запросов в БД.

Приветствую, уважаемый читатель!

В рамках рассмотрения вопросов повышения производительности, хотел бы рассказать про возможность оптимизации времени выполнения запросов в Splunk. Интересовать нас будут запросы в БД, идущие через приложение Splunk DB Connect.

SQLite. PowerShell. Получаем историю браузеров.

Приветствую, уважаемый читатель!

Сбор исходной информации во время расследования инцидента это основа основ, особенно, когда не сильно доверяешь словам пользователей. Анализ сетевой активности пользователя на АРМ можно контролировать многими способами: контроль доступа в Интернет через прокси, DLP-решения, IDS-решения и т.д. Но, бывают случаи, когда ничего этого нет, и тогда не помещает изучить истории браузеров на данных АРМ. Об этом и поговорим.

Splunk. Splunk DB Connect. Подключаем MSSQL.

Приветствую, уважаемый читатель!

В этой короткой заметке будет рассказано про подключение к СУБД MSSQL и некоторые новые особенности Splunk DB Connect, которые появились после обновления данного приложения.