Thursday, November 11, 2021

Trích lọc thông tin từ AWS webinar - How to achieve faster time to insight with third-party financial services data

(Nguồn: blog.voicefoundry.com)


Trích từ survey của webinar AWS - How to achieve faster time to insight with third-party financial services data Confirmation ngày 11/11/2021:

Amazon cung cấp các AWS Services (sắp xếp theo alphabet):
  • Amazon Athena  (Big data)
  • Amazon Connect  (Contact Center as a Service)
  • Amazon FinSpace (~ Amazon Snowflake Data Warehouse / DWH)
  • Amazon Fraud Detector
  • Amazon Healthlake (~ Amazon Snowflake  nhưng dành cho Healthcare enterprises)
  • Amazon Neptune (a Graph database software/service)
  • Amazon Personalize 


Tools để phân tích:
  • Demyst
  • Domo
  • AtScale
  • Tableau


3 mục đích:
  • Machine Learning
  • Data and Analytics
  • Research and Planning

Links:


 

Monday, October 11, 2021

Config inputs.conf Blacklist specific Windows Event Logs trên Splunk Forwarder

 

Windows Event Logs có rất nhiều audit // security data được ghi nhận. 

Do đó để tránh nhiễu do quá nhiều log, cũng là giải quyết vấn đề log rác hoặc log trùng, cần phải blacklist 1 số events. 

VD: Windows Firewall events có EventCode=5156 liên quan đến DNS traffic và kết nối 1 số internal web sites cụ thể. Rõ ràng đây là những events thừa thãi, không cần thiết. Hay hơn nữa, cần lưu được query domain name trong dns logs, hơn là log ghi nhận dns traffic. Xem  thông tin 1 event 5156 trên Windows:



Đối với giải pháp Splunk, cần blacklist trên config của Spl forwarder theo các HD sau:
* 5 Examples vv blacklist // exclude data > https://docs.splunk.com/Documentation/Splunk/8.2.2/Data/Whitelistorblacklistspecificincomingdata
* Nhưng để hiểu cách cấu hình blacklist, tham khảo kỹ https://docs.splunk.com/Documentation/Splunk/8.2.2/Admin/Inputsconf 
* Nếu còn thời gian thì tham khảo tiếp https://docs.splunk.com/Documentation/SplunkCloud/latest/Data/MonitorWindowseventlogdata 



 

Windows Security Event Log vs Sysmon

 

Có lý do nào đó mà CTO MS (Mark Russinovich) tạo ra sysmon để audit/monitor Windows instances. Mình cũng tập tài cài, collect lưu về SIEM. MS Windows cũng đã có log nên hiển nhiên 1 số events sẽ trùng lắp:

* EventCode=4688 của Wineventlog và EventCode=1 của Sysmon. Các events lệch nhau 1 chút, khoảng 1 2 giây tối đa. 


* EventCode=4689 của WinEventlog và EventCode=5 của Sysmon.

Sysmon đã bổ sung lưu cả parameters của 1 process command line (Wineventlog thì không) nên chiếu theo luật log thừa, có lẽ sẽ nên blacklist các events 4688 và 4689. 1 eventcode=1 của sysmon thường có thông tin như sau:

............... UtcTime: 2021-10-11 08:55:31.791 ProcessGuid: {BE5D7639-FC03-6163-5B75-030000001400} ProcessId: 4396 Image: C:\Windows\System32\reg.exe FileVersion: 10.0.14393.0 (rs1_release.160715-1616) Description: Registry Console Tool Product: Microsoft® Windows® Operating System Company: Microsoft Corporation OriginalFileName: reg.exe CommandLine: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}.KB982573" CurrentDirectory: C:\Windows\system32\ User: NT AUTHORITY\SYSTEM LogonGuid: {BE5D7639-BBCE-6149-E703-000000000000} LogonId: 0x3E7 TerminalSessionId: 0 IntegrityLevel: System Hashes: MD5=59A22FA6CF85026BB6BC69A1ADD75C50,SHA256=9E28034CE3AEEA6951F790F8997DF44CFBF80BEFF9FB17413DBA317016A716AD,IMPHASH=EE7EB7FA7D163340753B7223ADA14352 ..........

Đã tin tưởng Sysinternals tools, cộng với việc Sysmon sẽ làm được nhiều trò trống, nhất là việc mon//giám sát. Nên quyết định chiến với sysmon thôi.

Happy monitoring!!!



Saturday, September 18, 2021

Blue Medora BindPlane MIaaS & GCP Logging


The service seems promising and may be easy to be use. I spent just <5 minutes for registration & saw the following GUI:


Bindplane is like a deployment & centralized configuration tool for managing collectors.

https://bluemedora.com/products/bindplane/ 

The first result may be:


But there are lots of things to be done for security monitoring purposes, e.g. correlations, alerts, I guess. So we may have a look at its supported destination, GCP Logging later.


Updated at 11:46 PM:

GCP Logging https://cloud.google.com/logging & Logs Explorer are not so good as expected.

https://console.cloud.google.com/logs/query

Query:

logName="projects/quickstart-1602463953025/logs/windows.event"
-jsonPayload.message="The system failed to register host (A or AAAA) resource records (RRs) for network adapter\r\nwith settings:"
-jsonPayload.message="7021 - Connection telemetry fields and analysis usage"



So we may turn back to the first solution (Spl).


Sunday, September 12, 2021

GlobalProtect (Mac): The server certificate is invalid. Please contact your IT administrator

 

Last time I tried to sign in my private PAN VPN on my Mac. The sign in process via Chrome browser was ok but I couldn't sign in when using GlobalProtect software. I got the following error message:

   GlobalProtect: The server certificate is invalid. Please contact your IT administrator



Trying to gg for resolution, especially on *.paloaltonetworks.com [1] and I couldn't fix this error. Later, I decided to sign in again via Safari and accepted the self-signed certificate again. Suddenly I did it successfully.  I figured it out that: the GlobalProtect only works well with valid and/or trusted certificated stored in Keychain Access. Chrome browser may maintain private cert store itself and GlobalProtect can not find any accepted certs in Chrome cert store Chrome browser may not be allowed to maintain or update private certs stored in KeyChain Access (even though Chrome have GUI for trust self signed certs. Chrome has only a link to go to KeyChain Access aka. OS Cert Store).

So I decided to write this post and hope it helps for others having this issue (on Mac).


[1]: Links I tried and did not work:

  • https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLhxCAG 
  • https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNWDCA4 
  • https://kb.wisc.edu/wcer/page.php?id=100007  & https://www.eduhk.hk/ocio/content/faq-vpn-connection-failed-globalprotect-client-prompt-server-certificate-invalid 

Friday, March 19, 2021

Toạ đàm > Mở rộng tri thức > Gặp ông anh đáng kính > Cf > Networking > Động viên > Khởi nghiệp

Hôm nay mình đã tham dự một buổi toạ đàm về ngành AI - Trí tuệ nhân tạo, với hi vọng lượm được chút kiến thức vv áp dụng AI trong ngành mình đang theo đuổi. 

Từ rất lâu rồi, cũng nhiều anh em nói với mình, tương lai security sẽ áp dụng ML, AI các kiểu để gia tăng chất lượng công việc của security nhưng chỉ là nói chung chung, đại loại cái hệ thống xyz có AI đó nó sẽ tự phát hiện và chặn tấn công này kia. Tuy nhiên khi đã hoàn tất bài trình bày, mình gần như không thu được kiến thức nào gọi là áp dụng trong AI/ML trong cái ngành security cả. Và do thói quen vừa theo dõi vừa tra cứu, mình cũng có câu trả lời riêng cho thắc mắc này. 

* AI/ML hiện được áp dụng nhiều nhất trong các products mảng endpoint security, hoặc IPS, Intelligence (Sophos, Trend Micro, Check Point, Cisco, EDR Cylance, Cynet...)

* Cũng có 1 cty có sứ mệnh giảm thiểu công việc vận hành của security (!?!?) (Vectra AI), chứ không chỉ đơn thuần là nâng tầm các sản phẩm endpoint security và IPS.

---

Một điều khá thú vị, không chỉ bản thân quan tâm đề tài AI, mà một ông anh đáng kính mà mình ngưỡng mộ (vì ổng cũng đã có 1 số áp dụng ML/AI thành công), cũng tham dự toạ đàm này. Thế là 2 anh em cf, trao đổi ít công việc, suy nghĩ, quản lý, kinh doanh, con cái... nhiều thứ và nhất là "khởi nghiệp". Hoá ra suy nghĩ của 2 ae về nhiều thứ này khá tương đồng. 2 ae bỏ ra ngoài sớm vì cảm thấy lạc quẻ, không thu được nhiều sau toạ đàm, nhưng được cái là bản thân mình đã có buổi gặp nhỏ, để mà ông anh "còn nhớ mình là ai" (j/k). Và hi vọng sau này 2 ae sẽ có một vài thứ cộng tác cùng nhau.

Cheers to me!! Ít ra cũng có người hiểu và đồng cảm động viên để mình tiếp tục.

(Hình: Quán cf nơi anh em gặp trò chuyện - hình của Foody do mình không chụp)






Suy nghĩ về payment đ/v dịch vụ Grab Food

Trưa nay khi dùng bữa tại 1 quán ăn @Q1, mình khá ấn tượng khi đội Grab Food, từng người, chỉ mất khoảng 10 giây để thanh toán và lấy đồ ăn. Thực sự trải nghiệm quá tốt so với việc tốn thời gian cho những công đoạn chờ đợi món, trả tiền, nhận tiền thừa (nếu có)...

Quá nhanh, quá nguy hiểm!!!  Giờ hiểu vì sao Grab chuyển thành super app, bổ sung Moca vào app của họ. Ít nhất là để phục vụ cánh ship đồ ăn này.

Kudos to Grab Food team!!

(Hình: khu vực chế biến giao đồ ăn. Trong cái rổ xanh, có 1 tablet, có lẽ để sẵn QR Code của cửa hàng)