Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

[FEATURE] Упаковка в kb-файл разные типы контента #117

Open
1 task done
GenRockeR opened this issue Jul 18, 2023 · 6 comments
Open
1 task done

[FEATURE] Упаковка в kb-файл разные типы контента #117

GenRockeR opened this issue Jul 18, 2023 · 6 comments
Labels
enhancement New feature or request

Comments

@GenRockeR
Copy link

Is there an existing feature request or discussion for this?

  • I have searched the existing feature requests and discussions

Problem

Привет.

Кейс 1.
В MP SIEM есть возможность создать пакет установки и выделить в него определенные файлы. Это могут быть правила нормализации, корреляции, табличные списки и т.д.
Далее такой пакет можно принести на другую инсталляцию и импортировать его. Обычно там уже есть все зависимости и есть возможность сразу установить все, что требуется.

Кейс 2.
Бывает так, что на удаленную площадку требуется перенести 1 правило корреляции или нормализации, если что-то поправили в них. В MP SIEM можно выделить это правило и выгрузить только его. Потом это правило импортируется на месте и позволяет обновить нужную часть

Кейс 3.
Создание пакета экспертизы не всегда удобно тем, что полученный контент в системе ты не можешь изменить. Очень часто создается просто одна директория или определенная структура для хранения контента "в папке". Вот этот контент тоже нужно уметь упаковывать в kb, чтобы была возможность синхронизировать его между инсталляциями.
Частично такие директории могут быть выгружены через наборы установки. Но иногда удобнее зайти в папку, выделить весь нужный контент и выгрузить его в kb-файл. При импорте в ptkb создается аналогичная структура

image

Solution

Доработать механизмы выбора контента и создания наборов установки

Improvements

No response

Anything else?

No response
@zatrahali
Copy link
Contributor

Накину еще про макросы. Иногда просят в виде kb пакета отдать и их (только их, или макросы + что-то из правил) стоит учесть это при реализации.
А еще чтобы тот же kbpack упаковал макросы и правила в пакет (по крайней мере я пробовал лишь руками), в папку, из которой будет создан пакет, нужно поместить папку common с макросами, рядом с common папку objectsс остальным контентом, если требуется

@GenRockeR
Copy link
Author

да, упаковка и перенос макросов - это тоже важная задача

@DmitryOffsec DmitryOffsec moved this to Pending Decision in VSCode XP Jul 19, 2023
@DmitryOffsec
Copy link
Contributor

Несколько технических вопросов на обсуждение:

  1. Как лучше реализовать выбор правил? С помощью имеющего дерева контента? Отдельной webView?
  2. Как визуализировать работу с наборами установки в отдельной вьюшке?
  3. Где хранить информацию о наборах установках? Нужно ли ей обмениваться?

@GenRockeR
Copy link
Author

GenRockeR commented Jul 19, 2023 via email

@DmitryOffsec
Copy link
Contributor

А чем вам не нравятся аналогичные решения в mp siem? Там и наборы установки, и выбор правил. Только вот макросы там выбрать нельзя. Эту часть можно продумать. Но, насколько я вижу сейчас, макросы все добавляются выгрузку kb из системы. ср, 19 июл. 2023 г., 22:15 Dmitry @.>:

Несколько технических вопросов на обсуждение: 1. Как лучше реализовать выбор правил? С помощью имеющего дерева контента? Отдельной webView? 2. Как визуализировать работу с наборами установки в отдельной вьюшке? 3. Где хранить информацию о наборах установках? Нужно ли ей обмениваться? — Reply to this email directly, view it on GitHub <#117 (comment)>, or unsubscribe https://github.com/notifications/unsubscribe-auth/AAWXLZKR2E7IJBCYOG2KGI3XRAW67ANCNFSM6AAAAAA2ORFUDE . You are receiving this because you authored the thread.Message ID: @.>

Всем нравится, только я не осилю реализовать часть сиема как есть в расширении. Нужен тот, кто сможет сделать подходящий UI если будем делать отдельную webView.

Вопрос по хранению актуален. Например, можно данные сохранить в JSON, чтобы потом перекинуть коллегам. Или шаринг набором не нужен и формат не важен?

@GenRockeR
Copy link
Author

Можно сделать webview с деревом контента. Будет удобно выбирать. Только нужно учесть зависимости ещё. В самом siem строится граф и говорит, что не хватает табличного списка и тому подобное.

Можно обмениваться наборами установками, если хранить их в json. Или, по крайней мере, не выбирать всё заново из дерева

@DmitryOffsec DmitryOffsec added the enhancement New feature or request label Aug 21, 2023
@DmitryOffsec DmitryOffsec moved this from Pending Decision to Todo in VSCode XP Jun 14, 2024
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
enhancement New feature or request
Projects
VSCode XP
Status: Todo
Milestone
No milestone
Development

No branches or pull requests
3 participants
@GenRockeR @zatrahali @DmitryOffsec