Приветствую, уважаемый читатель!
Отвлечемся немного от Splunk. Хочу затронуть тему стабильности работы сервисов 2-х факторной аутентификации в территориально распределённых ИТ-инфраструктурах. Уже не первый год усиление мер MFA является базовой рекомендацией для всех компаний, но помимо внедрения решений MFA важно обеспечить их стабильную работу для пользователей, в частности сервиса OTP (One-Time Password).
Приветствую, уважаемый читатель!
Сегодня расскажу про опыт применения в Splunk операторов if и case, казалось бы, когда какой оператор применять ответ очевиден, но есть нюансы.
Приветствую, уважаемый читатель!
Есть в Splunk операторы, которые создают фундамент для всех математических или аналитических запросов. Одним из таких операторов является stats. Как понятно из названия, он позволяет над группами событий выполнять различные статистические операции. Некоторые сценарии его использования покажу ниже.
Приветствую, уважаемый читатель!
Думаю всем очевидно, что угрозы подбора логина и пароля к какому-либо сервису в сети Интернет будут с нами пока в принципе есть пароли как аутентификатор. И пока они с нами, поизучать активность злоумышленников часто бывает полезно. Некоторые измышления на примере SSH ниже).
Приветствую, уважаемый читатель!
При проведении аттестации по требованиям безопасности информации уже достаточно давно необходимо подтвердить отсутствие уязвимостей критического и высокого уровня. Если на объекте есть САЗ - проблем нет, если САЗ нет на помощь приходит сканер от ФСТЭК (ScanOval). У данного сканера есть проблема, а именно экспорт результатов сканирования в формат, который позволит удобно работать с выявленными уязвимостями в SIEM.
Критиковать бесплатный инструмент дело неблагодарное, но работать как-то нужно. Не придумал ничего лучше, чем распарсить выходной HTML-файл отчёта, достать значимые поля и отправить в SIEM. Кому интересно, скрипт парсинга ниже)
Приветствую, уважаемый читатель!
С недавнего времени в России наконец-то наступила пора импортозамещения ПО. При всех очевидных плюсах данной работы, наружу вылезли большие и мелкие технические проблемы - совместимость ПО, централизованное управление ПО, разные настройки, вытирание слёз пользователей и т.д. Большие проблемы решаются в рамках больших контрактов с вендорами, а вот маленькие проблемы приходится решать самостоятельно и быстро.
Одна из очевидные проблем - централизованный учёт всех установленных пакетов в ОС (например, Astra Linux) для поиска уязвимых пакетов и дальнейшего устранения уязвимостей.
Кому интересно, добро пожаловать :)
Приветствую, уважаемый читатель!
Когда речь заходит о расследовании инцидентов ИБ в Windows сетях/системах, то в голове сразу мелькает мысль - зайду и поизучаю логи "Security", "Application", "System", там всё будет. Но если их специально стёрли или они сами себя потёрли со временем, то куда смотреть? Есть пара мыслей на этот счёт)
