SOC Enhancer
Про SOC и инфобез
Автор: @alexkolnik
Автор: @alexkolnik
Рэйтынг TGlist
0
0
ТыпПублічны
Вертыфікацыя
Не вертыфікаваныНадзейнасць
Не надзейныРазмяшчэнне
МоваІншая
Дата стварэння каналаЖовт 12, 2024
Дадана ў TGlist
Жовт 31, 2024Прыкрепленая група
SOC Connect
1
Апошнія публікацыі ў групе "SOC Enhancer"
Пераслаў з:
Сертификат безопасности
19.04.202511:36
⚡️KazInfoSec - подборка личных TG-каналов казахстанского ИБ-комьюнити 💭
https://t.me/addlist/kI9Bkz-4Bs41ZmRi
https://t.me/addlist/kI9Bkz-4Bs41ZmRi
15.04.202505:10
🦖Velociraptor – инструмент для форензики и реагирования на инциденты
Интересно, что Velociraptor может полностью заменить osquery, так как включает в себя весь его функционал. Синтаксис запросов у них схож. Но Velociraptor помимо сбора информации может также вносить изменения в систему (osquery этого не делает осознанно)
Недавно искал материалы для изучения данного продукта, оказалось что ссылка на курс обучения есть на главной странице документации – Velociraptor Course: Digging deeper
Если теории мало и хочется попрактиковаться, то Velociraptor есть в наборе тестовой среды DetectionLab, в этом наборе есть как серверная часть, так и хосты с агентами. А в качестве SIEM в данной среде используется Splunk
Velociraptor - Digging Deeper!
Интересно, что Velociraptor может полностью заменить osquery, так как включает в себя весь его функционал. Синтаксис запросов у них схож. Но Velociraptor помимо сбора информации может также вносить изменения в систему (osquery этого не делает осознанно)
Недавно искал материалы для изучения данного продукта, оказалось что ссылка на курс обучения есть на главной странице документации – Velociraptor Course: Digging deeper
Если теории мало и хочется попрактиковаться, то Velociraptor есть в наборе тестовой среды DetectionLab, в этом наборе есть как серверная часть, так и хосты с агентами. А в качестве SIEM в данной среде используется Splunk
Velociraptor - Digging Deeper!
13.04.202507:10
🦄 Open SysConf'25 быть!
Об этом сообщил Евгений Гончаров в канале конференции
Open SysConf – это ежегодная бесплатная бро-конференция, где не только профессионалы, но и любители делятся опытом и знаниями из самых разных сфер. Подать заявку на выступление можно уже сейчас
Вся конфа обычно транслируется онлайн на YouTube-канале – Live Driving. На данном канале вы также можете посмотреть доклады предыдущих конференций
Рекомендую участие в любом виде!
Open SysConf'25
Об этом сообщил Евгений Гончаров в канале конференции
Open SysConf – это ежегодная бесплатная бро-конференция, где не только профессионалы, но и любители делятся опытом и знаниями из самых разных сфер. Подать заявку на выступление можно уже сейчас
Вся конфа обычно транслируется онлайн на YouTube-канале – Live Driving. На данном канале вы также можете посмотреть доклады предыдущих конференций
Рекомендую участие в любом виде!
Open SysConf'25
11.04.202505:10
🐺 Защита хостов от Wazuh-агента
У Wazuh есть 3 параметра, отвечающие за удалённое выполнение команд, которые по умолчанию отключены с целью безопасности хостов:
- logcollector.remote_commands – выполнение команд, которые можно прописать централизованно на Wazuh-сервере в конфигурации для сбора событий
- sca.remote_commands – команды, которые можно указать в тесте SCA и централизованно загрузить с Wazuh-сервера на агенты
- wazuh_command.remote_commands – выполнение команд, прописанных в общем файле конфигурации для агентов
Если все эти 3 параметра оставить отключенными, то добавление или изменение состава таких конфигураций нельзя будет осуществить централизованно с Wazuh-сервера, только непосредственно на хосте. Конечно, это влечет за собой и некоторые неудобства, как минимум вы не сможете раскатать SCA тесты, их придется загружать на хосты другим способом. Но зато хосты не будут скомпрометированы через Wazuh-агенты:)
Wazuh – Internal configuration
У Wazuh есть 3 параметра, отвечающие за удалённое выполнение команд, которые по умолчанию отключены с целью безопасности хостов:
- logcollector.remote_commands – выполнение команд, которые можно прописать централизованно на Wazuh-сервере в конфигурации для сбора событий
- sca.remote_commands – команды, которые можно указать в тесте SCA и централизованно загрузить с Wazuh-сервера на агенты
- wazuh_command.remote_commands – выполнение команд, прописанных в общем файле конфигурации для агентов
Если все эти 3 параметра оставить отключенными, то добавление или изменение состава таких конфигураций нельзя будет осуществить централизованно с Wazuh-сервера, только непосредственно на хосте. Конечно, это влечет за собой и некоторые неудобства, как минимум вы не сможете раскатать SCA тесты, их придется загружать на хосты другим способом. Но зато хосты не будут скомпрометированы через Wazuh-агенты:)
Wazuh – Internal configuration
Пераслаў з:
Автоматизация ИИ от Ануара
10.04.202505:10
Новое видео в канале!
Я Собрал Команду ИИ-Агентов в n8n Без Кода! (Бесплатный Шаблон + Голосовое Управление)
В видео я покажу, как собрать настоящую AI-команду агентов с помощью GPT-4o, Perplexity, Whisper и n8n — без программирования и абсолютно бесплатно.
Ты увидишь, как:
✅ GPT-4o обрабатывает задачи с нереальной скоростью и пишет посты
✅ Whisper превращает голос в команды
✅ Perplexity ищет и анализирует актуальные новости
✅ n8n соединяет всё это в мощную автоматизацию
Смотреть 👇
https://www.youtube.com/watch?v=36C2oCfmuEo&ab_channel=AnuarKalikhan
Я Собрал Команду ИИ-Агентов в n8n Без Кода! (Бесплатный Шаблон + Голосовое Управление)
В видео я покажу, как собрать настоящую AI-команду агентов с помощью GPT-4o, Perplexity, Whisper и n8n — без программирования и абсолютно бесплатно.
Ты увидишь, как:
✅ GPT-4o обрабатывает задачи с нереальной скоростью и пишет посты
✅ Whisper превращает голос в команды
✅ Perplexity ищет и анализирует актуальные новости
✅ n8n соединяет всё это в мощную автоматизацию
Смотреть 👇
https://www.youtube.com/watch?v=36C2oCfmuEo&ab_channel=AnuarKalikhan
09.04.202505:10
📊 В каких кейсах могут пригодиться списки значений?
Списки значений ("Value lists" в Elastic и "CDB Lists" в Wazuh) можно использовать для набора правил, которые применимы к физическим хостам, но неактуальны для виртуальных хостов. В таком случае можно составить список физических хостов и указывать его в правилах или исключениях для таких правил. Актуализируя только один такой список вы будете поддерживать актуальность всех связанных с ним правил
Списки также можно использовать для подсетей, когда правило актуально только при активности из определенных подсетей или наоборот, неактуально для определенного списка подсетей
Такие объекты, как списки значений, помогают создавать правила для специфичных юзкейсов, упрощая поддержание их актуальности
Списки значений ("Value lists" в Elastic и "CDB Lists" в Wazuh) можно использовать для набора правил, которые применимы к физическим хостам, но неактуальны для виртуальных хостов. В таком случае можно составить список физических хостов и указывать его в правилах или исключениях для таких правил. Актуализируя только один такой список вы будете поддерживать актуальность всех связанных с ним правил
Списки также можно использовать для подсетей, когда правило актуально только при активности из определенных подсетей или наоборот, неактуально для определенного списка подсетей
Такие объекты, как списки значений, помогают создавать правила для специфичных юзкейсов, упрощая поддержание их актуальности
07.04.202505:11
🗄 Отличие полей типа Keyword от Text
В курсе по подготовке к сертификации Elastic Certified Engineer подробно разбираются отличия полей типа Keyword от Text. Эти отличия крайне важны для понимания, так как они влияют на то, как именно писать запросы для правил детектирования
Keyword предназначен для поиска по точному совпадению, а Text – для полнотекстового поиска, то есть по частичному совпадению. Например, вы не сможете написать KQL-запрос нечувствительный к регистру для полей типа Keyword, а для Text – вполне
Кстати, у Wazuh все поля, которые парсятся из событий, хранятся в формате Text, отсюда свои плюсы и минусы
Эта тема также затронута в данной статье – Основы полнотекстового поиска в ElasticSearch. Часть вторая
В курсе по подготовке к сертификации Elastic Certified Engineer подробно разбираются отличия полей типа Keyword от Text. Эти отличия крайне важны для понимания, так как они влияют на то, как именно писать запросы для правил детектирования
Keyword предназначен для поиска по точному совпадению, а Text – для полнотекстового поиска, то есть по частичному совпадению. Например, вы не сможете написать KQL-запрос нечувствительный к регистру для полей типа Keyword, а для Text – вполне
Кстати, у Wazuh все поля, которые парсятся из событий, хранятся в формате Text, отсюда свои плюсы и минусы
Эта тема также затронута в данной статье – Основы полнотекстового поиска в ElasticSearch. Часть вторая
04.04.202505:10
🐺 Встроенный парсер Wazuh для событий в формате JSON
Если вы собираете логи не напрямую в SIEM, а с помощью скрипта (например), и думаете, в каком виде их отправить в SIEM, то выбирайте JSON, тогда не придется дополнительно писать под них парсер
У Wazuh JSON парсер можно применить следующим образом:
Удобно также, что событие не обязательно должно быть полностью в JSON формате, его спокойно можно обернуть в syslog с его стандартными полями, где как раз может фигурировать название приложения или сервиса, с которого собираются логи
JSON decoder
Если вы собираете логи не напрямую в SIEM, а с помощью скрипта (например), и думаете, в каком виде их отправить в SIEM, то выбирайте JSON, тогда не придется дополнительно писать под них парсер
У Wazuh JSON парсер можно применить следующим образом:
Удобно также, что событие не обязательно должно быть полностью в JSON формате, его спокойно можно обернуть в syslog с его стандартными полями, где как раз может фигурировать название приложения или сервиса, с которого собираются логи
JSON decoder
28.03.202505:10
🔗 Аудит безопасности вашего SOAR
У n8n есть встроенная функция проверки workflows на безопасность. Перечень проверок не является исчерпывающим, но есть интересные области проверок, например:
- Проверка на наличие учетных записей, которые не используются в workflows
- Проверка на использование рискованных нод: для подключения по SSH, выполнения сырых веб-запросов и запуска произвольного кода
- Проверка на использование community-нод, так как они не проверяются на безопасность командой n8n
- Проверка актуальности версии n8n, настроек конфигурации и др.
Вы можете запустить аудит безопасности, используя специальную ноду для взаимодействия с самим n8n. Также этот перечень проверок можно взять за основу для проверки SOAR другого производителя
n8n - Security audit
У n8n есть встроенная функция проверки workflows на безопасность. Перечень проверок не является исчерпывающим, но есть интересные области проверок, например:
- Проверка на наличие учетных записей, которые не используются в workflows
- Проверка на использование рискованных нод: для подключения по SSH, выполнения сырых веб-запросов и запуска произвольного кода
- Проверка на использование community-нод, так как они не проверяются на безопасность командой n8n
- Проверка актуальности версии n8n, настроек конфигурации и др.
Вы можете запустить аудит безопасности, используя специальную ноду для взаимодействия с самим n8n. Также этот перечень проверок можно взять за основу для проверки SOAR другого производителя
n8n - Security audit
20.03.202505:10
🦌 TH-запросы для поиска попыток дампов учетных записей ОС
У Elastic вышла статья, в которой подробно рассказано про технику OS Credential Dumping (T1003)
В ней описана каждая подтехника, источники событий, по которым можно обнаружить указанную активность и приведены 15 запросов для их поиска
Порадовало, что запросы направлены не только на ОС Windows, но и Linux
Hunting with Elastic Security: Detecting credential dumping with ES|QL
У Elastic вышла статья, в которой подробно рассказано про технику OS Credential Dumping (T1003)
В ней описана каждая подтехника, источники событий, по которым можно обнаружить указанную активность и приведены 15 запросов для их поиска
Порадовало, что запросы направлены не только на ОС Windows, но и Linux
Hunting with Elastic Security: Detecting credential dumping with ES|QL
14.03.202505:10
📊 Обогащение событий на уровне Kibana
Для дашбордов Kibana может пригодиться какое-нибудь поле, значение которого должно быть более информативным или просто красивее, чем значение, которое тебе отдаёт Elasticsearch
Простой пример: у нас есть поле
Для этого предназначены скриптовые поля (Scripted fields), которые можно настроить под свои задачи. В Elastic они находятся в объекте "Data View", а в Wazuh — в "Index patterns"
Принцип прост, в скрипте вы указываете какое значение какого поля вы ожидаете и какое значение в таком случае вернуть. Далее вы обрабатываете вернувшееся значение и окрашиваете его полностью в нужные цвета, в итоге у нового поля в значениях будут разноцветные квадраты. Для такого случая есть 2 лайфхака: цифра стоящая впереди, для нормальной сортировки по критичности и одинаковая длина символов для одинакового размера квадрата (так как это просто закрашенный текст)
Что важно помнить:
- Скриптовые поля работают на уровне Kibana и выполняются при каждом обновлении дашбордов, поэтому не стоит усложнять скрипты, иначе дашборд будет прогружаться очень долго
- Нигде, кроме как при вызове данного "Data View" или "Index patterns", это поле отображаться не будет
Для дашбордов Kibana может пригодиться какое-нибудь поле, значение которого должно быть более информативным или просто красивее, чем значение, которое тебе отдаёт Elasticsearch
Простой пример: у нас есть поле
severity, со значениями 1, 2, 3, 4. Но для дашборда здорово превратить цифры в разноцветные квадраты — зелёный, желтый, красный, бордовыйДля этого предназначены скриптовые поля (Scripted fields), которые можно настроить под свои задачи. В Elastic они находятся в объекте "Data View", а в Wazuh — в "Index patterns"
Принцип прост, в скрипте вы указываете какое значение какого поля вы ожидаете и какое значение в таком случае вернуть. Далее вы обрабатываете вернувшееся значение и окрашиваете его полностью в нужные цвета, в итоге у нового поля в значениях будут разноцветные квадраты. Для такого случая есть 2 лайфхака: цифра стоящая впереди, для нормальной сортировки по критичности и одинаковая длина символов для одинакового размера квадрата (так как это просто закрашенный текст)
Что важно помнить:
- Скриптовые поля работают на уровне Kibana и выполняются при каждом обновлении дашбордов, поэтому не стоит усложнять скрипты, иначе дашборд будет прогружаться очень долго
- Нигде, кроме как при вызове данного "Data View" или "Index patterns", это поле отображаться не будет
13.03.202507:11
💡 Мини-задача
Входной текст:
Task - First ID (1-2-3-4-5) - Second ID (6-7-8-9-0)
Операция:
Ответ в комменты 👇
Входной текст:
Task - First ID (1-2-3-4-5) - Second ID (6-7-8-9-0)
Операция:
.split(/\(|\)/)[3].split("-")[3]Ответ в комменты 👇
13.03.202505:10
🐺 Оптимизация работы Wazuh
Знаете ли вы сколько генерируется "полноценных правил" детектирования под капотом у Wazuh?
Если включить режим дебага и перезагрузить
Например, у вас есть группа
Говоря о системе правил как о графе, можно сказать, что создавая одну такую "вершину", вы создаёте большое количество "рёбер"
Если в какой-то момент ваш Wazuh начал очень долго перезапускаться, советую проверить. Один из способов решения — более точно определять источник правила. Лучше всего ссылаться на id c помощью параметра
Знаете ли вы сколько генерируется "полноценных правил" детектирования под капотом у Wazuh?
Если включить режим дебага и перезагрузить
wazuh-manager, вы сможете увидеть перечень вариаций сработок правил, созданных из имеющихся у вас правил детектированияНапример, у вас есть группа
attack и в неё попадают 100 правил детектирования. Вы создали 1 правило с условием attack Говоря о системе правил как о графе, можно сказать, что создавая одну такую "вершину", вы создаёте большое количество "рёбер"
Если в какой-то момент ваш Wazuh начал очень долго перезапускаться, советую проверить. Один из способов решения — более точно определять источник правила. Лучше всего ссылаться на id c помощью параметра
if_sid
Пераслаў з:
k8s (in)security
11.03.202505:10
Недавно мы рассказывали как нужно смотреть
Зарегистрироваться можно тут.
CISO (и другим на С-level уровне) на безопасность контейнеров и Kubernetes. А теперь 25 марта мы расскажем это с ориентиром на специалистов SOC (Security Operation Center). Это будет полезно как внутренним, так и внешним SOC.Зарегистрироваться можно тут.
03.03.202505:10
🔗 Резервное копирование workflows n8n
По моему мнению, наилучшим вариантом бэкапа рабочих workflows является создание отдельного workflow в n8n для такой задачи
Условия:
- под административной учетной записью, чтобы был доступ ко всем workflow
- желательно в гит (например, GitLab), для управления версиями
- бэкап только в случае наличия изменений (можно отслеживать по полю
На сайте n8n на данный момент есть 16 готовых workflows для бэкапа с различными вариантами, рекомендую ознакомиться для понимания того, какие варианты существуют, но в конечном итоге лучше писать самому под свои нужды и со своими условиями
Workflow Automation Templates - backup
По моему мнению, наилучшим вариантом бэкапа рабочих workflows является создание отдельного workflow в n8n для такой задачи
Условия:
- под административной учетной записью, чтобы был доступ ко всем workflow
- желательно в гит (например, GitLab), для управления версиями
- бэкап только в случае наличия изменений (можно отслеживать по полю
updatedAt)На сайте n8n на данный момент есть 16 готовых workflows для бэкапа с различными вариантами, рекомендую ознакомиться для понимания того, какие варианты существуют, но в конечном итоге лучше писать самому под свои нужды и со своими условиями
Workflow Automation Templates - backup
Рэкорды
21.04.202523:59
418Падпісчыкаў29.10.202423:59
100Індэкс цытавання16.03.202515:44
604Ахоп 1 паста21.03.202506:08
71Ахоп рэкламнага паста20.04.202519:39
12.68%ER23.02.202515:44
243.55%ERRПераслаў з:Сертификат безопасности
19.04.202511:36
⚡️KazInfoSec - подборка личных TG-каналов казахстанского ИБ-комьюнити 💭
https://t.me/addlist/kI9Bkz-4Bs41ZmRi
https://t.me/addlist/kI9Bkz-4Bs41ZmRi
28.03.202505:10
🔗 Аудит безопасности вашего SOAR
У n8n есть встроенная функция проверки workflows на безопасность. Перечень проверок не является исчерпывающим, но есть интересные области проверок, например:
- Проверка на наличие учетных записей, которые не используются в workflows
- Проверка на использование рискованных нод: для подключения по SSH, выполнения сырых веб-запросов и запуска произвольного кода
- Проверка на использование community-нод, так как они не проверяются на безопасность командой n8n
- Проверка актуальности версии n8n, настроек конфигурации и др.
Вы можете запустить аудит безопасности, используя специальную ноду для взаимодействия с самим n8n. Также этот перечень проверок можно взять за основу для проверки SOAR другого производителя
n8n - Security audit
У n8n есть встроенная функция проверки workflows на безопасность. Перечень проверок не является исчерпывающим, но есть интересные области проверок, например:
- Проверка на наличие учетных записей, которые не используются в workflows
- Проверка на использование рискованных нод: для подключения по SSH, выполнения сырых веб-запросов и запуска произвольного кода
- Проверка на использование community-нод, так как они не проверяются на безопасность командой n8n
- Проверка актуальности версии n8n, настроек конфигурации и др.
Вы можете запустить аудит безопасности, используя специальную ноду для взаимодействия с самим n8n. Также этот перечень проверок можно взять за основу для проверки SOAR другого производителя
n8n - Security audit
07.04.202505:11
🗄 Отличие полей типа Keyword от Text
В курсе по подготовке к сертификации Elastic Certified Engineer подробно разбираются отличия полей типа Keyword от Text. Эти отличия крайне важны для понимания, так как они влияют на то, как именно писать запросы для правил детектирования
Keyword предназначен для поиска по точному совпадению, а Text – для полнотекстового поиска, то есть по частичному совпадению. Например, вы не сможете написать KQL-запрос нечувствительный к регистру для полей типа Keyword, а для Text – вполне
Кстати, у Wazuh все поля, которые парсятся из событий, хранятся в формате Text, отсюда свои плюсы и минусы
Эта тема также затронута в данной статье – Основы полнотекстового поиска в ElasticSearch. Часть вторая
В курсе по подготовке к сертификации Elastic Certified Engineer подробно разбираются отличия полей типа Keyword от Text. Эти отличия крайне важны для понимания, так как они влияют на то, как именно писать запросы для правил детектирования
Keyword предназначен для поиска по точному совпадению, а Text – для полнотекстового поиска, то есть по частичному совпадению. Например, вы не сможете написать KQL-запрос нечувствительный к регистру для полей типа Keyword, а для Text – вполне
Кстати, у Wazuh все поля, которые парсятся из событий, хранятся в формате Text, отсюда свои плюсы и минусы
Эта тема также затронута в данной статье – Основы полнотекстового поиска в ElasticSearch. Часть вторая
Пераслаў з:Автоматизация ИИ от Ануара
10.04.202505:10
Новое видео в канале!
Я Собрал Команду ИИ-Агентов в n8n Без Кода! (Бесплатный Шаблон + Голосовое Управление)
В видео я покажу, как собрать настоящую AI-команду агентов с помощью GPT-4o, Perplexity, Whisper и n8n — без программирования и абсолютно бесплатно.
Ты увидишь, как:
✅ GPT-4o обрабатывает задачи с нереальной скоростью и пишет посты
✅ Whisper превращает голос в команды
✅ Perplexity ищет и анализирует актуальные новости
✅ n8n соединяет всё это в мощную автоматизацию
Смотреть 👇
https://www.youtube.com/watch?v=36C2oCfmuEo&ab_channel=AnuarKalikhan
Я Собрал Команду ИИ-Агентов в n8n Без Кода! (Бесплатный Шаблон + Голосовое Управление)
В видео я покажу, как собрать настоящую AI-команду агентов с помощью GPT-4o, Perplexity, Whisper и n8n — без программирования и абсолютно бесплатно.
Ты увидишь, как:
✅ GPT-4o обрабатывает задачи с нереальной скоростью и пишет посты
✅ Whisper превращает голос в команды
✅ Perplexity ищет и анализирует актуальные новости
✅ n8n соединяет всё это в мощную автоматизацию
Смотреть 👇
https://www.youtube.com/watch?v=36C2oCfmuEo&ab_channel=AnuarKalikhan
11.04.202505:10
🐺 Защита хостов от Wazuh-агента
У Wazuh есть 3 параметра, отвечающие за удалённое выполнение команд, которые по умолчанию отключены с целью безопасности хостов:
- logcollector.remote_commands – выполнение команд, которые можно прописать централизованно на Wazuh-сервере в конфигурации для сбора событий
- sca.remote_commands – команды, которые можно указать в тесте SCA и централизованно загрузить с Wazuh-сервера на агенты
- wazuh_command.remote_commands – выполнение команд, прописанных в общем файле конфигурации для агентов
Если все эти 3 параметра оставить отключенными, то добавление или изменение состава таких конфигураций нельзя будет осуществить централизованно с Wazuh-сервера, только непосредственно на хосте. Конечно, это влечет за собой и некоторые неудобства, как минимум вы не сможете раскатать SCA тесты, их придется загружать на хосты другим способом. Но зато хосты не будут скомпрометированы через Wazuh-агенты:)
Wazuh – Internal configuration
У Wazuh есть 3 параметра, отвечающие за удалённое выполнение команд, которые по умолчанию отключены с целью безопасности хостов:
- logcollector.remote_commands – выполнение команд, которые можно прописать централизованно на Wazuh-сервере в конфигурации для сбора событий
- sca.remote_commands – команды, которые можно указать в тесте SCA и централизованно загрузить с Wazuh-сервера на агенты
- wazuh_command.remote_commands – выполнение команд, прописанных в общем файле конфигурации для агентов
Если все эти 3 параметра оставить отключенными, то добавление или изменение состава таких конфигураций нельзя будет осуществить централизованно с Wazuh-сервера, только непосредственно на хосте. Конечно, это влечет за собой и некоторые неудобства, как минимум вы не сможете раскатать SCA тесты, их придется загружать на хосты другим способом. Но зато хосты не будут скомпрометированы через Wazuh-агенты:)
Wazuh – Internal configuration
13.04.202507:10
🦄 Open SysConf'25 быть!
Об этом сообщил Евгений Гончаров в канале конференции
Open SysConf – это ежегодная бесплатная бро-конференция, где не только профессионалы, но и любители делятся опытом и знаниями из самых разных сфер. Подать заявку на выступление можно уже сейчас
Вся конфа обычно транслируется онлайн на YouTube-канале – Live Driving. На данном канале вы также можете посмотреть доклады предыдущих конференций
Рекомендую участие в любом виде!
Open SysConf'25
Об этом сообщил Евгений Гончаров в канале конференции
Open SysConf – это ежегодная бесплатная бро-конференция, где не только профессионалы, но и любители делятся опытом и знаниями из самых разных сфер. Подать заявку на выступление можно уже сейчас
Вся конфа обычно транслируется онлайн на YouTube-канале – Live Driving. На данном канале вы также можете посмотреть доклады предыдущих конференций
Рекомендую участие в любом виде!
Open SysConf'25
09.04.202505:10
📊 В каких кейсах могут пригодиться списки значений?
Списки значений ("Value lists" в Elastic и "CDB Lists" в Wazuh) можно использовать для набора правил, которые применимы к физическим хостам, но неактуальны для виртуальных хостов. В таком случае можно составить список физических хостов и указывать его в правилах или исключениях для таких правил. Актуализируя только один такой список вы будете поддерживать актуальность всех связанных с ним правил
Списки также можно использовать для подсетей, когда правило актуально только при активности из определенных подсетей или наоборот, неактуально для определенного списка подсетей
Такие объекты, как списки значений, помогают создавать правила для специфичных юзкейсов, упрощая поддержание их актуальности
Списки значений ("Value lists" в Elastic и "CDB Lists" в Wazuh) можно использовать для набора правил, которые применимы к физическим хостам, но неактуальны для виртуальных хостов. В таком случае можно составить список физических хостов и указывать его в правилах или исключениях для таких правил. Актуализируя только один такой список вы будете поддерживать актуальность всех связанных с ним правил
Списки также можно использовать для подсетей, когда правило актуально только при активности из определенных подсетей или наоборот, неактуально для определенного списка подсетей
Такие объекты, как списки значений, помогают создавать правила для специфичных юзкейсов, упрощая поддержание их актуальности
Увайдзіце, каб разблакаваць больш функцый.