読者です 読者をやめる 読者になる 読者になる

内角540°

セキュリティ。SIEMとかIPSとか統計とかクラウドとか。数学以外で。

SIEM相関ルール成熟までのプロセス

Gartnerさんに掲載された記事。 問題は何か、明確にすることが大前提であり、 SIEMやSIEMによる相関ルールが目的にはならないことを強く推している。SIEM Use Case Implementation and Tuning Process blogs.gartner.com 1.問題の明確化 Define a particular…

SIEMの活用と成熟過程(SIEM Use Cases and Process Maturity)

McAfeeに掲載されたGrant Babbさんの"SIEMの活用"に関する記事。 とても良い記事でした(・o・) SIEM Use Cases and Process Maturity https://community.mcafee.com/community/business/siem/blog/2012/12/24/siem-use-cases-and-process-maturity--the-play…

SIEMの使用例(Popular SIEM Starter Use Cases)

SIEMユースケースに関する記事。貴重。参考: blogs.gartner.com 1.認証を追跡し、アカウント侵害を検出 1.Authentication tracking and account compromise detection; admin and user tracking [this is the very use case that I detail in that post] Ac…

クラウドアプリケーションを守るSIEM相関ルール

SIEM相関ルール作成の知見に読んでみる。参考: www.skyformation.com 1.Brute Force Attack 概要 同一のIPからログイン失敗を繰り返し・長時間に渡り行う コメント "長時間に渡る攻撃" を観測できないSIEMのほうが多いと思う。 タイムレンジ60分では、機械…

セキュリティレポートのリンク集

最近読んだセキュリティレポート セキュリティレポート レポート名 頻度 リンク McAfee脅威レポート 四半期 McAfee セキュリティ研究レポート IIJInternet Infrastructure Review(IIR) 四半期 セキュリティ・技術レポート IIJ Symantec脅威レポート 年次 …

野球選手データの取得@python+splunk

目標 選手の成績推移が見たい。 流れ PythonでSportsnaviの情報をCSVにする。 Splunkで読み取り、成績推移グラフを作る 選手情報のCSV化 コード #!/usr/bin/env python # -*- coding: utf-8 -*- import urllib import re import datetime time = str(datetim…

0CTF(2017) writeup #oneTimePad

ctf

問題 I swear that the safest cryptosystem is used to encrypt the secret! oneTimePad.zip 2ファイルを渡される。①暗号化用のスクリプト oneTimePad.py ②フラグを暗号化した結果ファイル ciphertext 解く で定義された暗号。 processから以下を読み取れる…

Evernoteの代替に、AWSでRedmineをたてる

大きな流れ AWS借りる ★今回はここ Redmineたてる ★今回はここ ドメイン借りる SSL対応 Snortいれる ModSecurityいれる リモートSplunk監視 ------------------------------------------------- AWS借りる 非常に詳しいリンクがあったので、参考にする。 htt…

Snortインストール方法(Windows)

フリーの不正侵入検知といえば、Snort! プラットフォームはLinuxだけでなく、WindowsやMacなどでも利用できる。 今回はWindowsに導入し、操作感を確かめる。

Proxy分析2

フォーマット固定して速くした。

Proxy分析

覚書その2 gokaxtukei.hatenablog.com

AlexCTF writeup

ctf

かけるときに書く。 元気になったら追記するかも#はてな記法で書き直した RE1: Gifted: 50 CR1: Ultracoded: 50 CR2: Many time secrets: 100 CR3: What is this encryption?: 150 Fore1: Hit the core: 50 Fore3: USB probing: 150 SC1: Math bot: 100 RE1…

Snortルールの危険度設定/Classificationとは

Snortのルールには直接危険度を設定するオプションは無いのです...でも、検知ログには[Priority :1]とか書かれてますよね? どのように設定するの?秘密はClassificationにありです。

Snortルール作ってみる(Heartbleed編)

Heartbleed (CVE-2014-0160) の検知ルールを作ってみる あまりに有名すぎる攻撃なので、情報多い! 公式のルールを見ずに作れるかな… ・Heartbleedの検知ルールをつくる ・公式のルールと比較して答え合わせ

ScapyでIDS(snort)の検知試験

特定のDNSクエリを検知するsnortルールを見たので、検知させたくなるのですgokaxtukei.hatenablog.com Pythonモジュールの一つScapyを使ってみるのよ(・o・) 危険ドメインdevid.infoを名前解決しようとするパケットを作るのです snortで検知させて、ついでに…

BLACKLIST DNS request for known malware domain〜

BLACKLIST DNS request for known malware domain… また会いましたね(・へ・) 毎月のように追加される君は一体誰なの??

Snort ルールの作成方法(very easy)

Snortのルールを作ってみる 今回は超初級編・ICMP検知をしよう! <目標!> ・とりあえずルールを作る ・ルールの構造理解する