Detection as code: как мы в VK SOC превращали правила в код

Долгие годы вендоры работали над тем, чтобы сделать UI в SIEM удобным, эффективным и простыми для аналитиков SOC, а теперь аналитики хотят код, git, vim. Упс. Привет! Меня зовут Павел Таратынов, я лид аналитиков L3 в VK SOC, и в этой статье я расскажу, почему и зачем мы перешли на Detection as code, какие бенефиты от этого получили и стоит ли игра свеч. Поехали!

https://habr.com/ru/companies/vk/articles/928320/

#soc #l3 #detection_as_code #dac #правила_корреляции #детектирующая_логика #everything_as_code #siem #cicd

Out of the box: отчуждаемый механизм корреляции

В этой статье хотелось бы рассказать вам о том, как можно решить стандартную задачу информационной безопасности нестандартным способом, позаимствовав механизм из другого решения. Наверное, у большинства специалистов по ИБ слова «правила корреляции» и «корреляционный движок» прочно ассоциируются с таким классом решений, как SIEM. Вероятно, так сложилось потому, что именно там они и задействованы. Здесь же хочется показать вам, что существуют такие задачи в ИБ, решить которые можно не только привычным способом, но и в том числе с применением логики правил корреляции.

https://habr.com/ru/companies/securityvison/articles/926436/

#информационная_безопасность #информационные_технологии #безопасная_разработка #правила_корреляции #риски_иб #риски_бизнеса #асу_тп #sdlc #ueba

VSCode — идеальный инструмент для хакера

Привет, Хабр! В прошлой статье мы уже разобрали устройство редактора кода VSCode и его особенности. Сегодня хочу рассказать про еще одну уязвимость в расширении, связанном с GitHub , рассмотреть функцию «туннелирование» в VSCode и варианты использования ее атакующими. После посмотрим, что можно сделать для детектирования подобных действий с помощью R-Vision SIEM. Начнем с функционала туннелирования, который в «стабильном» варианте появился в версии 1.74. Функция позволяет удаленно управлять хостом, используя серверы Microsoft. Для запуска туннеля даже не обязательно устанавливать VSCode, достаточно только серверного компонента приложения VS Code Server . Конечно, это заинтересовало атакующих, и они стали использовать этот метод в своих целях. exploit it >

https://habr.com/ru/companies/rvision/articles/849736/

#vscode #siem #уязвимости #уязвимости_и_их_эксплуатация #туннелирование #туннелирование_трафика #c&c #correlation_rule #детектирование #правила_корреляции

FreeIPA под прицелом: Изучение атак и стратегий защиты

Привет, Хабр! Меня зовут Всеволод Саломадин, я ведущий аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня мы поговорим о системе FreeIPA, которая является одной из немногих альтернатив такого “комбайна”, как Microsoft Active Directory (AD) . Учитывая закон о переходе на отечественное ПО на объектах КИИ к 2025 году, эта тема становится актуальной для многих компаний. Вместе с активным переходом на FreeIPA, у пользователей стали возникать вопросы о механизмах атак и стратегиях защиты от них. В этой статье мы рассмотрим некоторые примеры атак на инфраструктуру FreeIPA и предложим варианты их детекта с помощью SIEM-системы.

https://habr.com/ru/companies/rvision/articles/825086/

#информационная_безопасность #freeipa #opensource #атаки #правила_корреляции

Препарируем Wazuh. Часть 4: правила корреляции

В этой статье мы продолжим рассматривать вопросы, связанные с настройкой Wazuh. В частности, рассмотрим работу с правилами корреляции. Но для начала поговорим о том, зачем вообще нужны эти правила и как лучше их использовать для обеспечения информационной безопасности.

https://habr.com/ru/companies/otus/articles/814909/

#wazuh #siem #правила_корреляции #информационная_безопасность