Marco Ermini wrote: > Davanti, dietro, e se avesse senso metteglieli anche di lato lo farei ;-)
Ecco un esempio di frase che opportunamente estratto dal contesto ti consegnera' a imperitura memoria... :p > la voglia) per scoprire i falsi positivi. Bisogna che lavori con i > progetti e cerchi di capire quale è la "normal" behaviour. Aaaaaah ma qui tu parli di SCRIVERTI le regole (e peraltro non regole misuse, ma regole basate sulla conoscenza della TUA webapplication che ci sta dietro). Sono certo che Claudio parlasse di un IPS misuse based con delle regole orientate alla descrizione degli attacchi ;-) > La situazione peggiore ce l'hanno se li installano e non li > ottimizzano, perché si ritrovano GB di log mal correlati e pagano uno > stonfo di licenze per non aver alcun vantaggio... E indovina un po' qual e' la situazione piu' comune.... :p > Ovviamente non esiste nulla "off the shelf" secondo me quando si parla di > SIEM. E allora siamo d'accordo e mi dichiaro soddisfatto :) > sì. Ovviamente se vuoi vedere cose che hanno senso e non semplicemente > un solo schermo con milioni di allarmi accumulati da differenti > tecnologie, la fase di setup (che in realtà non finisce mai, come gli > esami di De Filippo...) è cruciale. Appunto :) -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
