aggiungo anche l'ottimo security onion che ti puo' aiutare con ELK stack e network monitoring (network miner, IDS stuff, etc)
https://securityonion.net/ ciao On Fri, 21 Jun 2019, 15:19 tag 636, <tag...@gmail.com> wrote: > > //Poniamo che dobbiate mettere in piedi una infrastruttura di VA > > Dai un occhiata ad archery > > https://github.com/archerysec/archerysec > ti permette una buona automazione via jenkis e la flessibilita' di > coniugare tutti gli engine che vuoi, in teoria puoi anche decidere di usare > unDradis per il reporting se hai bisogni specifici in questa area. > > Per monitoraggio di reti, dai un occhio a open nms > > https://www.opennms.org/en/opennms > > il libro di Tao security ti puo' dare degli spunti buoni > > > https://www.amazon.com/Practice-Network-Security-Monitoring-Understanding/dp/1593275099/ref=mp_s_a_1_1?keywords=security+monitoring&qid=1561122166&s=gateway&sr=8-1 > > per web app...sono per un'integrazione nella CI/CD con SAST e DAST....un > tipico SecDevOps loop, only web VA non serve a molto. > > Da un punto di vista di architettura, usa un approccio via containers che > spari dove vuoi via k8s o simili. > > Lo scan pubblico sento tanti alle conferenze che usano shodan, se non hai > il requirement PCI dell'esterno e hai bisogno di un reporting evoluto. Se > allinei con le API da un punto di vista di intelligence, sincronizzare cosa > un bot trova e' smart. > > Quando valuti VA, considera se non integrare anche threat hunting > centralizzando DNS security, end point e CASB/IAM in cloud. Se hai tanto > Win, controlla se una soluzione come l'ultimo sysmon (aggiornato con DNS > entry flag) e non ti dimenticare i problemi di Powershell. > > In pratica il riassunto e' se devi fare una review a questi livelli da un > punto di architettura, integra CI/CD security e vedi se non riesci a > razionalizzare gli investimenti, magari guardando anche all'incident > response allo stesso tempo integrando The Hive, MISP e altre cose....se > devi mettere le mani metti tutto in discussione, per avere piu' automazione > che puoi, ma vai container o l'hardening e automatizzazione ti diventa > un'incubo > > Ciao > > > > > > > > > > > > >
