Rose debug info
---------------

Подписка на блог

Customize in /user/extras/subscribe-sheet.tmpl.php.

Sample text.

Twitter, Facebook, VK, Telegram, LinkedIn, Odnoklassniki, Pinterest, РСС JSON Feed

Sample text.

Разработка учебной SIEM

Источник вдохновения — статья «Глубины SIEM: корреляции „из коробки“».

Цель: разработать программную систему (типа Security information and event management), демонстрирующую возможности сбора и анализа событий безопасности (логи МЭ, АВ) с элементами слабого ИИ.

Требования к системе:
— модульность (внешний API);
— в основе конечных автоматов (ДРАКОН-схемы);
— в основе система управления знаниями (вместо правил ЕСЛИ, ТО);
— анализ поведения пользователя (выявление аномальной активности на хосте) [тут];
— активация правил МЭ;
— сигнатуры и поддержка SIGMA правил;
— интеграция алгоритмов машинного обучения и неглубоких нейронных сетей;
— прогнозная аналитика;
— веб-интерфейс (Flask, Django);
— elastic stack (noSQL);
— ... на этом фантазия пока закончилась.

Язык реализации: Python 3.7 и выше.

Платформа: ОС Debian

Кодовое название системы: pySIEM

Аналоги в РФ (буду следить за успехами):
Ankey ASAP;
— кто-то еще.

Пишут, что можно за 1 день разработать SIEM.

Более подробное описание системы будет в Вики.

Сравнение SIEM-систем:
Сравнение SIEM-систем. Часть 1
Сравнение SIEM-систем. Часть 2

Подписаться на блог
Поделиться
Отправить
 21   10 мес   Infosec   pySIEM   Python   SIEM
Дальше