Discussione Creazione "SOC in casa"

Ordina per data Ordina commenti per reazioni
J

J.A.R.V.I.S.

Utente Bronze
30 Giugno 2017
33
7
5
43
Buongiorno a tutti!

Stavo pensando di creare un SOC in casa per cominciare a prendere mano con l'utilizzo dei principali tool, io pensavo di strutturarlo full open source visto che è una prova.
Cercando online una soluzione ho trovato il seguente setup:

ElasticSearch
Wazuh
MISP
Zeek/Suricata
pfsense
Siemplify

Inoltre vorrei installare anche OpenVAS per prendere mano con eventuali VA automatici
Penso che tutto ciò mi sarebbe molto utile per fare un po' di esperienza

Cosa ne pensate?
 
J.A.R.V.I.S. ha detto:
Buongiorno a tutti!

Stavo pensando di creare un SOC in casa per cominciare a prendere mano con l'utilizzo dei principali tool, io pensavo di strutturarlo full open source visto che è una prova.
Cercando online una soluzione ho trovato il seguente setup:

ElasticSearch
Wazuh
MISP
Zeek/Suricata
pfsense
Siemplify

Inoltre vorrei installare anche OpenVAS per prendere mano con eventuali VA automatici
Penso che tutto ciò mi sarebbe molto utile per fare un po' di esperienza

Cosa ne pensate?
Clicca per espandere...
Piuttosto che OpenVAS io installerei Nessus (Community), visto che la versione enterprise di Nessus è molto diffusa tra le aziende. Non saranno uguali, ma almeno inizi a prendere la mano su un prodotto molto più utilizzato.

Per il resto ne so ben poco, conosco OSSIM (un SIEM open source) ma non l'ho mai usato in prima persona. ElasticSearch so che viene usato abbastanza anche nel mondo lavorativo, per cui se impari a configurarlo e usarlo è un'ottima cosa. Credo comunque che crearti il tuo lab casalingo sia una splendida idea ;)
 
0xbro ha detto:
Piuttosto che OpenVAS io installerei Nessus (Community), visto che la versione enterprise di Nessus è molto diffusa tra le aziende. Non saranno uguali, ma almeno inizi a prendere la mano su un prodotto molto più utilizzato.

Per il resto ne so ben poco, conosco OSSIM (un SIEM open source) ma non l'ho mai usato in prima persona. ElasticSearch so che viene usato abbastanza anche nel mondo lavorativo, per cui se impari a configurarlo e usarlo è un'ottima cosa. Credo comunque che crearti il tuo lab casalingo sia una splendida idea ;)
Clicca per espandere...
Grazie mille per le dritte, seguirò i tuoi consigli
Colgo l'occasione per ringraziarti per i consigli che mi hai dato fino ad ora, domenica scorsa ho ottenuto la certificazione eJPT v2 e credo di aver imparato moltissimo sia dal corso che dall'esame.
Un buon punto di partenza per le prossime certificazioni!

Durante il weekend comincerò a fare il setup di questo lab, ti terrò informato sullo svolgimento, magari può essere un ottimo spunto per altri nella community :)
 
  • Love
Reazioni: 0xbro
J.A.R.V.I.S. ha detto:
Grazie mille per le dritte, seguirò i tuoi consigli
Colgo l'occasione per ringraziarti per i consigli che mi hai dato fino ad ora, domenica scorsa ho ottenuto la certificazione eJPT v2 e credo di aver imparato moltissimo sia dal corso che dall'esame.
Un buon punto di partenza per le prossime certificazioni!

Durante il weekend comincerò a fare il setup di questo lab, ti terrò informato sullo svolgimento, magari può essere un ottimo spunto per altri nella community :)
Clicca per espandere...
Lieto che i consigli siano stati utili, ma soprattutto complimenti per il tuo risultato, ad maiora!

Sono sicuro che anche qualcun altro troverà utile la creazione di questo lab, per cui tienici aggiornati (e se altri utenti avessero degli ulteriori consigli sono sempre ben accetti!)
 
  • Mi piace
Reazioni: J.A.R.V.I.S.
Ciao a tutti! Dopo una lunga pausa volevo aggiornarvi sullo stato di questo progetto, al momento ho implementato internamente un IDS e un IPS, giusto per vedere le differenze, proseguendo poi con il SIEM mi sono "schiantato" sul elasticsearch a pagamento, in sostanza al momento l'elk stak è attivo ma non posso creare le policy di sicurezza che mi interesserebbero.
Avreste qualche alternativa?
 
J.A.R.V.I.S. ha detto:
Ciao a tutti! Dopo una lunga pausa volevo aggiornarvi sullo stato di questo progetto, al momento ho implementato internamente un IDS e un IPS, giusto per vedere le differenze, proseguendo poi con il SIEM mi sono "schiantato" sul elasticsearch a pagamento, in sostanza al momento l'elk stak è attivo ma non posso creare le policy di sicurezza che mi interesserebbero.
Avreste qualche alternativa?
Clicca per espandere...
So che esiste AlienVault OSSIM, dovrebbe essere un SIEM Open Source che magari può fare al caso tuo
 
Ci stavo lavorando proprio oggi e ho notato che dalla fine del 2022 è stata aggiornata la licenza di elasticsearch, ora dovrebbe essere gratuita.
Il prossimo step sarà installare i plugin di elasticsearch per la sicurezza e successivamente the hive, così dovrei avere un siem basico con
- ELK stack
- The Hive
- Snort

Così forse posso iniziare a vedere se riesco a simulare qualche attacco e vedere se vengono lanciati degli alert
 

DISCUSSIONI SIMILI

0
Discussione Ufficiale I migliori password manager per il 2024
  • In evidenza
  • 35
  • 3K
35
3K
Privacy Online e Anonimato
ne0h
0
Guida Cosa è un Penetration Test e quali sono le sue fasi
  • Release
  • In evidenza
  • 2
  • 3K
2
3K
Pentesting e Ethical Hacking Guide e Tools
MRPants
N
Discussione Process Hollowing + Process Injection con Python su Windows (davvero?)
  • 0
  • 287
0
287
Advanced Hacking
Netcat
H
Discussione Subnetting: Cos'è e come funziona la creazione di sottoreti
  • In evidenza
  • 0
  • 838
0
838
Informatica e Reti
haxo
N
Discussione Altro Xorg Vs Wayland: quali sono le differenze?
  • 0
  • 1K
0
1K
Linux, Unix e altri OS
nfvblog
Top Bottom
Indietro