# Полезные ссылки по ИБ

#### Регуляторы

- Нормативные акты в РФ по отраслям и меры защиты: [https://regulhub.kaspersky.ru/](https://regulhub.kaspersky.ru/)

#### KUMA

- Онлайн-справка по KUMA: [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/217694.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/217694.htm)
- Группа в Telegram: [https://t.me/kumasiem](https://t.me/kumasiem)
- База знаний: [https://kb.kuma-community.ru/](https://kb.kuma-community.ru/)
- Коллекция API на Postman: [https://www.postman.com/kl-ru-presales/workspace/kaspersky-products-apis-ru/overview](https://www.postman.com/kl-ru-presales/workspace/kaspersky-products-apis-ru/overview)

#### Windows  


- Рекомендации по аудиту событий Windows: [https://github.com/JSCU-NL/logging-essentials](https://github.com/JSCU-NL/logging-essentials)
- Рекомендации от Kaspersky MDR: [https://support.kaspersky.com/MDR/ru-RU/204200.htm](https://support.kaspersky.com/MDR/ru-RU/204200.htm)
- Скрипты для **быстрой настройки политики аудита по рекомендациям MDR**: [https://box.kaspersky.com/d/48e696a683c04340926e/](https://box.kaspersky.com/d/48e696a683c04340926e/)
- **<span style="color: rgb(45, 194, 107);">✔️ Рекомендуется</span>** ID событий отправляемые в MS Sentinel: [https://learn.microsoft.com/en-us/azure/sentinel/windows-security-event-id-reference](https://learn.microsoft.com/en-us/azure/sentinel/windows-security-event-id-reference) (Строка с Common) 
    - **<span style="color: rgb(45, 194, 107);">✔️Рекомендуется </span>**Дополнительные полезные ID событий (пресейл рекомендация дополнение к MS Sentinel): [https://box.kaspersky.com/f/8c71107f71054d3981c3/](https://box.kaspersky.com/f/8c71107f71054d3981c3/)
- Рекомендации от ManageEngine: [https://www.manageengine.com/products/active-directory-audit/guide-to-configure-group-policy-object-auditing-in-adauditplus.html](https://www.manageengine.com/products/active-directory-audit/guide-to-configure-group-policy-object-auditing-in-adauditplus.html)
- Рекомендации от MS: 
    - [https://learn.microsoft.com/ru-ru/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations](https://learn.microsoft.com/ru-ru/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations)
    - <span lang="EN-US" style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; mso-fareast-font-family: Calibri; mso-fareast-theme-font: minor-latin; mso-ansi-language: EN-US; mso-fareast-language: EN-US; mso-bidi-language: AR-SA;">[https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor)</span>
- Что наиболее интересно собирать с Windows — [https://www.cyber.gov.au/acsc/view-all-content/publications/windows-event-logging-and-forwarding](https://www.cyber.gov.au/acsc/view-all-content/publications/windows-event-logging-and-forwarding)
- Рекомендации сбору событий с Sysmon, конфигурация: [https://github.com/olafhartong/sysmon-modular/blob/master/sysmonconfig.xml](https://github.com/olafhartong/sysmon-modular/blob/master/sysmonconfig.xml)

#### Linux

- Описание Audit системы: [https://access.redhat.com/articles/4409591](https://access.redhat.com/articles/4409591)
- **<span style="color: rgb(45, 194, 107);">✔️Рекомендуется </span>**Конфиг для AuditD (Florian Roth): [https://github.com/Neo23x0/auditd](https://github.com/Neo23x0/auditd)
    - **<span style="color: rgb(45, 194, 107);">✔️Рекомендуется </span>**улучшение конфига на странице настройки AuditD: [https://kb.kuma-community.ru/books/podkliucenie-istocnikov/page/nastroika-auditd-na-unix-sistemax](https://kb.kuma-community.ru/books/podkliucenie-istocnikov/page/nastroika-auditd-na-unix-sistemax)
- Конфиг для AuditD (с маппингом MITRE): [https://github.com/bfuzzy1/auditd-attack/tree/master/auditd-attack](https://github.com/bfuzzy1/auditd-attack/tree/master/auditd-attack)
- Конфиг для TrendMicro DS: [https://github.com/deep-security/auditd-config/](https://github.com/deep-security/auditd-config/)
- AuditD на GoLang: [https://slack.engineering/syscall-auditing-at-scale/](https://slack.engineering/syscall-auditing-at-scale/)
- Конфиги для AuditD (по различным стандартам): [https://github.com/linux-audit/audit-userspace/tree/master/rules](https://github.com/linux-audit/audit-userspace/tree/master/rules)
- Аггрегация событий AuditD по ID: [https://github.com/simple-evcorr/sec](https://github.com/simple-evcorr/sec) , [https://docs.nxlog.co/refman/current/pm/evcorr.html](https://docs.nxlog.co/refman/current/pm/evcorr.html)

#### Cisco

- Настройка Netflow: [https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco\_NetFlow\_Configuration.pdf](https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco_NetFlow_Configuration.pdf)

#### Примеры событий различных систем

- [https://github.com/elastic/beats/tree/master/x-pack/filebeat/module](https://github.com/elastic/beats/tree/master/x-pack/filebeat/module)
- [https://docs.trellix.com/bundle/enterprise-security-manager-data-sources-configuration-reference-guide/page/GUID-49F19CE4-38BC-4322-B0C1-E1CF3AB277CB.html](https://docs.trellix.com/bundle/enterprise-security-manager-data-sources-configuration-reference-guide/page/GUID-49F19CE4-38BC-4322-B0C1-E1CF3AB277CB.html)
- [https://docs.cyderes.cloud/parser-knowledge-base](https://docs.cyderes.cloud/parser-knowledge-base)
- [https://github.com/izysec/linux-audit/tree/main/LogSamples](https://github.com/izysec/linux-audit/tree/main/LogSamples)

#### Прочее

- Написание регулярных выражений: [https://regex101.com/](https://regex101.com/)