Z
Ну вот про это я и говорил. Просто аккуратно структурированный алгоритм. Чем это от готового spl отличается принципиально?
да ничем, это база знаний как и mitre
Size: a a a
2020 July 13
Z
ну если вот прям по честному
Z
еще один источник структурированной информации
Z
с чем то новым, тем чего ты не видел/не знал ранее
RS
Ну да, к твиттеру добавился ещё один источник
e
Ваш коллега молодец, но вот вопрос. А будет ли когда нибудь поддержка sigma <—>mpsiem
Да не просто молодец, а красава!
Только теперь нужно ещё большим числом русскоязычного комьюнити поддержать приближающийся спринт №2 OSCD.
https://oscd.community/index_ru.html
Только теперь нужно ещё большим числом русскоязычного комьюнити поддержать приближающийся спринт №2 OSCD.
https://oscd.community/index_ru.html
Z
Ну да, к твиттеру добавился ещё один источник
❓в чем это всё агрегировать? где вести бэклог и лучше автоматически добавлять информацию
RS
❓в чем это всё агрегировать? где вести бэклог и лучше автоматически добавлять информацию
Ну вот как бэклог, да.
Я же не хейчу. Просто в отличие от других инициатив (atc, art) тут достижение цели шаринга готовых детектов мне кажется маловероятным. А тогда зачем этот dsl?
Я же не хейчу. Просто в отличие от других инициатив (atc, art) тут достижение цели шаринга готовых детектов мне кажется маловероятным. А тогда зачем этот dsl?
Z
Ну вот как бэклог, да.
Я же не хейчу. Просто в отличие от других инициатив (atc, art) тут достижение цели шаринга готовых детектов мне кажется маловероятным. А тогда зачем этот dsl?
Я же не хейчу. Просто в отличие от других инициатив (atc, art) тут достижение цели шаринга готовых детектов мне кажется маловероятным. А тогда зачем этот dsl?
поспорил бы) но не сейчас
Z
работать надо
A
Коллеги, подскажите, а можно как-то сравнить кусок поля из события с ячейкой табличного списка? Например, в событии полное имя до файла, а в списке только имя файла.
A
Давно правила не писал, сходу в гайде не нахожу
m
Коллеги, подскажите, а можно как-то сравнить кусок поля из события с ячейкой табличного списка? Например, в событии полное имя до файла, а в списке только имя файла.
Вырезать нужную часть (find_substr/regex/etc) и свести задачу к уже решённой?)
A
это прямо в exec_query сделать можно?
Z
Блин правило писал на днях
A
нет ограничений?
Z
В девелопергайде есть точно
Z
Match и тп
Z
В таблице записи вида .*scvhost.exe
m
В таблице записи вида .*scvhost.exe
Это уже о дельная история, когда в тс лежат регекспы