Ровно год назад участники сообщества создали больше 50 правил корреляции на языке eXtraction and Processing (XP) для выявления атак на Windows. Мы решили собраться снова и написать новые правила — в этот раз для macOS.
Выбрать и изучить атаку, а также связанные с ней события.
Написать правило корреляции для выявления атаки на языке XP.
3
Опубликовать правило в репозитории проекта на GitHub.
2
Security Experts Community
Кто мы
Открытое сообщество специалистов по ИБ, которые объединяют усилия для решения задач кибербезопасности. Мы поощряем инициативу, делимся инструментами для написания корреляций и предоставляем пространство для свободного обмена знаниями.
Присоединяйся к нам
Если ты обладаешь экспертизой в сфере Defensive Security, хочешь открыто делиться ею и делать этот мир безопаснее вместе с командой энтузиастов, присоединяйся к нам на GitHub и в Telegram.
В рамках первого спринта Windows Threat Detection мы написали и выложили в открытый доступ более 50 правил. А после собрали вместе участников и активных членов комьюнити, чтобы подарить им классный мерч и пообщаться в неформальной обстановке. Впечатления от этого вечера были по-летнему жаркими. Скоро встретимся снова!
Open Security Week #1
Как это было
FAQ
Только желание
Принятые правила публикуются в репозитории сообщества в соответствии с указанной открытой лицензией и будут доступны всем участникам Security Experts Community. Ты поделишься своей экспертизой с единомышленниками, а также сможешь использовать чужие наработки. Вот некоторые варианты использования:
в открытом проекте SOLDR;
в коммерческих продуктах MaxPatrol SIEM, PT Sandbox, и PT EDR;
в качестве базы знаний, из которой можно черпать идеи для выявления атак.
В отличие от хакатона спринт не предполагает соревнование, а значит, не будет и победителя. Но мы приготовили для всех участников подарки и приглашение на ламповый митап «Экспертная открытость», где сможем познакомиться и пообщаться лично.
Мы проверим все правила, написанные в ходе спринта, сразу после создания пул-реквеста в основном репозитории, поэтому ты сможешь наблюдать процесс. После окончания спринта в течение недели подведем итоги и опубликуем их в телеграм-канале Security Experts Community. Дополнительно расскажем о результатах и процессе проведения спринта на митапе «Экспертная открытость».
Каждый участник спринта получит один подарок. Если вы не сможете присутствовать на встрече, мы отправим его по почте.