Vlad
Green Team
- 28.01.2019
- 92
- 27
Эти файлы содержат конфигурацию для создания данных EDR (обнаружение конечной точки и ответ) в дополнение к стандартным системным журналам. Эти конфигурации, позволяют создавать эти потоки данных с использованием F / OSS (бесплатные и / или инструменты с открытым исходным кодом). Инструменты F / OSS состоят из Auditd для Linux; Sysmon для Windows и Xnumon для Mac. Также включен набор заметок для настройки событий и правил Suricata.
Эти наборы данных перечисляют и / или генерируют виды событий, относящихся к безопасности, которые требуются для методов поиска угроз и широкого спектра аналитики безопасности.
Tylium является частью проекта SpaceCake для многоплатформенного обнаружения вторжений, анализа безопасности и поиска угроз с использованием инструментов с открытым исходным кодом для Linux и Windows как в облачных, так и в обычных средах.
СОДЕРЖАНИЕ
Linuxauditd.yaml - набор правил audd для генерации файловых, сетевых и технологических событий через susbsystem audd для Linux. SystemLogs.md - матрица логических файлов операционной системы Linux и веб-сервера.
MacOS
configuration.plist - конфигурация для генерации sysmon-подобных событий с использованием проекта xnumon на MacOS.
Suricata
Заметки по настройке событий и правил для Suricata в облачной среде.
Windows
EventLogs.md - матрица избранных сообщений журнала событий Windows и их расположение.
Sysmon-config-base.xml - файл конфигурации sysmon для генерации событий файла, сети, реестра, сети, процесса и WMI с использованием Sysmon для Windows.
