[Перевод] В логах Kibana лежат тест-кейсы. Вот CLI, чтобы их достать. С auth, заскрабленным по умолчанию
Каждый спринт мы экспортируем JSON из Kibana, листаем сотни записей и говорим себе, что потом превратим их в тест-кейсы, но потом никогда не наступает. Логи содержат реальные API-вызовы. Настоящие endpoint’ы, реальные payload’ы, настоящие статус-коды из продакшна. Это ближайшее к спецификации...
Создание правил SIEM с использованием категорийных моделей
В статье рассказываю о возможности применения концепции категорийных моделей для выявления аномалий в действиях пользователей при помощи SIEM. Модели позволяют описать и использовать профиль типичной активности пользователей и других сущностей. У себя используем их для выявления кражи учетных...
Как сделать персональные отчеты о действиях пользователей в SIEM
Рассказываю об опыте и методологии создания персональных отчетов о действиях сотрудников по событиям из SIEM. У нас они используются для выявления потенциальных захватов учетных записей злоумышленниками при распространении их по корпоративной сети организации (lateral movement). Читать далее...
Как в Ozon следят за чувствительной информацией в логах и при чем тут Толкиен?
Летом 2023 года во время выступления на одной из ИБ-конференций представителю вендора задали вопрос: «А как бороться с секретами и другой чувствительной информацией в логах? Контролировать миллионы записей в сутки довольно трудно». К моему удивлению, вендор ответил, что на текущий момент в России...