Полезные ссылки

KUMA

Онлайн-справка по KUMA: https://support.kaspersky.com/help/KUMA/2.1/ru-RU/217694.htm

Группа в Telegram: https://t.me/kumasiem 

Основная ссылка на материалы: https://hackmd.io/@boristheblade/kuma-info 

База знаний: https://kb.kuma-community.ru/ 

Коллекция API на Postman: https://www.postman.com/kl-ru-presales/workspace/kaspersky-products-apis-ru/overview

Windows

Рекомендации по аудиту событий Windows: https://github.com/JSCU-NL/logging-essentials

Рекомендации от Kaspersky MDR: https://support.kaspersky.com/MDR/ru-RU/204200.htm

Рекомендации от  ManageEngine: https://www.manageengine.com/products/active-directory-audit/guide-to-configure-group-policy-object-auditing-in-adauditplus.html

Рекомендации от MS: https://learn.microsoft.com/ru-ru/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations

Что наиболее интересно собирать с Windows — https://www.cyber.gov.au/acsc/view-all-content/publications/windows-event-logging-and-forwarding

Рекомендации сбору событий с Sysmon, конфигурация: https://github.com/olafhartong/sysmon-modular/blob/master/sysmonconfig.xml

Linux

Описание Audit системы: https://access.redhat.com/articles/4409591

Конфиг для AuditD (Florian Roth): https://github.com/Neo23x0/auditd

Конфиг для AuditD (с маппингом MITRE): https://github.com/bfuzzy1/auditd-attack/tree/master/auditd-attack

AuditD на GoLang: https://slack.engineering/syscall-auditing-at-scale/

Конфиги для AuditD (по различным стандартам): https://github.com/linux-audit/audit-userspace/tree/master/rules

Cisco

Настройка Netflow: https://www.cisco.com/c/dam/en/us/td/docs/security/stealthwatch/netflow/Cisco_NetFlow_Configuration.pdf

Примеры событий

https://github.com/elastic/beats/tree/master/x-pack/filebeat/module

https://docs.trellix.com/bundle/enterprise-security-manager-data-sources-configuration-reference-guide/page/GUID-49F19CE4-38BC-4322-B0C1-E1CF3AB277CB.html

https://docs.cyderes.cloud/parser-knowledge-base

https://github.com/izysec/linux-audit/tree/main/LogSamples