本次從各種平台、資安設備去了解日誌大致內容、查看的方式、存放的地方、取出的方法,當然現今已經有許多產品幫我們整合在一起,並建立了許多偵測規則,這都是研究員去分析事件所產出的結果,我們可以藉由這些研究報告及監控規則,一步步實作去學習思路,適當的調整成適合自己場域的規則,讓我們更快速的應變各種事件。
OWASP CRS Ruleset
https://github.com/coreruleset/coreruleset/tree/main/rules
Sigma - Generic Signature Format for SIEM Systems
https://github.com/SigmaHQ/sigma
Elastic Security - Detection Rules
https://github.com/elastic/detection-rules/tree/61afb1c1c0c3f50637b1bb194f3e6fb09f476e50
Splunk - Security Content
https://github.com/splunk/security_content/tree/18f63553a9dc1a34122fa123deae2b2f9b9ea391
iThome鐵人賽
看影片追技術