Wpis z mikrobloga

@Anonimowy_Melancholik: Nessua trial? ( ͡° ͜ʖ ͡°)
A tak poważnie to z chęcią sam się dowiem. Aktualnie używam nessusa i zadowolony jestem. No tak... cena może być problemem.

Zawołaj!

jest jeszcze Nexpose ale cenowo to liga Nessusa. Możesz jeszcze rozważyć zamiast skanerów pójść pasywnie w HIDSa? Jest całkiem spoko darmowy OSSEC z Wazuh https://wazuh.com/ do tego dobrze skonfigurowana, też darmowa Suricata jako NIDS i jest spoko

@Anonimowy_Melancholik: w małej firmie, na początku, idźcie w rozwiązania open source by w ogóle sprawdzić czy dźwigniecie obsługę zgłoszeń z tych narzędzi. I zaczął bym serio od HIDS i NIDS a potem myślał o skanach z zewnętrz.

Zainstalować i skonfigurować to jedno ale sensownie używać i faktycznie analizować zgłoszenia to drugie. Przyjmijcie, że pierwsze 3 miesiące to będzie proces uczenia i dostrajania by Was nie zalało false positive. I że analizaPokaż całość

Qualys, Rapid7 - tak na szybko
@Anonimowy_Melancholik:

OSSEC z WazuhSuricata jako NIDS

@_sn: Właśnie tworzę identyczną konfigurację, więc jak OP by chciał służę radą.

@Just666: a co robisz z danymi z Suricaty? konfigurujesz rules do alertów? czy sam je jakoś analizujesz?

@_sn: Rulesy mam od snorta o ile dobrze pamiętam.
Chociaż to i tak dwu stopniowy poziom jest bo rulesy są zarówno na IDSie i na OSSECU (2 różne maszyny).
Wizualizuje sobie wszystko w ELK.

@Just666: i masz kogoś kto siedzi i patrzy w kibanę 24/7? czy patrzycie co jakiś czas i reagujecie z opóźnieniem? nie boisz się, że coś przeoczycie? pytam, bo przed podobnym dylematem staliśmy i próbujemy reagować w tempo analizując w locie

@_sn: Od razu piszę że dopiero wdrażamy się więc nie wszystko jest domknięte.
Po 1 pracujemy w trybie IDS więc z natury działamy z opóźnieniem. :)
2. nie mamy żadnego SOCu więc nadzór jest tylko w godzinach roboczych (z rana jest co oglądać) ;)
3. Jest to jedno z wielu zabezpieczeń ( mamy m.in nessusa) więc nie - na razie nie boję się iż coś przeoczę.