Size: a a a

SOС Технологии

2019 February 14

S

Slava in SOС Технологии
yugoslavskiy
это ничего. но маркетинга там никакого нет ;)
Он про хэш тэги
источник

S

Slava in SOС Технологии
Слишком многа
источник

NA

Nikolai Arefiev in SOС Технологии
Описание на гите выглядит вкусно :)
источник

NA

Nikolai Arefiev in SOС Технологии
Вот контента мало пока :(
источник

y

yugoslavskiy in SOС Технологии
Nikolai Arefiev
Вот контента мало пока :(
тема не в контенте который предоставляется проектом, а в автоматизации работы с внутренней аналитикой
источник

NA

Nikolai Arefiev in SOС Технологии
Химмм видимо я не под тем углом смотрю на проект. Что я там вижу: подход к тому чтобы sigma-правила начали работать. Описание того какие источники нужны, какие данные должны быть в событиях (обогащение), сами правила, описание реакции на их срабатывание.
источник

NA

Nikolai Arefiev in SOС Технологии
Я могу ошибаться в выводах, т.к. пока поверхностно просмотрел репозиторий
источник

NA

Nikolai Arefiev in SOС Технологии
Да, ещё и стадия mitigation затронута
источник

y

yugoslavskiy in SOС Технологии
совершенно верно. но это не база знаний в которую нужно ходить за тем чтобы забирать новую аналитику по обогащению/детекту/респонсу. это механизм для создания собственной базы знаний (:
источник

NA

Nikolai Arefiev in SOС Технологии
Видимо, вот этого я и не уловил.
источник

y

yugoslavskiy in SOС Технологии
берете ваш приватный форк сигмы. берете ваш приватный форк atomic red team. скармливаете это дело проекту и на выходе получаете вот такое
источник

y

yugoslavskiy in SOС Технологии
источник

NA

Nikolai Arefiev in SOС Технологии
Да, неплохо.
источник

NA

Nikolai Arefiev in SOС Технологии
Днём поплотнее поразбираюсь с этим инструментом. Автогенераторы - хорошо, но вот несколько качественный результат получается...
источник

y

yugoslavskiy in SOС Технологии
изначально мы делали проект как Proof Of Concept для MITRE, у нас после люксембургского воркшопа EU ATT&CK community [1] сложилась инициативная группа по оживлению MITRE CAR [2], который, как вы знаете, умер уже пару лет как. Мы несколько вечеров с пацанами посидели, сделали эту штуку, отправили всей инициативной группе (которая включала ребят из MISP [3], TheHive [4], Sigma [5], несколько CERTов) перед звонком с MITRE.

Через пару дней на самом звонке выяснилось что ребята из MITRE как-то не очень заинтересованы в новом подходе с автоматической генерацией всего и вся, и будут продолжать проект в старом формате но с новой оберткой. Мы подумали что в общем-то и хрен с ними, мы и сами все сделаем на ура.

Такие дела.

[1] https://www.attack-community.org/2018-05-29-Workshop-in-Luxembourg/
[2] https://car.mitre.org
[3] https://www.misp-project.org
[4] https://thehive-project.org
[5] https://github.com/Neo23x0/sigma
источник

NA

Nikolai Arefiev in SOС Технологии
Ваш подход меня близок, и что-то похожее я описываю в цикле теоретических статей на Хабре. Но я там иду от событий и поднимаюсь до уровня правил корреляции.
источник

y

yugoslavskiy in SOС Технологии
А, это у вас статьи про модель данных? Горячий топик, Elastic представил свою модель (ECS), с новой версией битсов будет использоваться по умолчанию. Sigma тоже пока в поиске, но склоняются к спланковской.
источник

NA

Nikolai Arefiev in SOС Технологии
Ну не знаю о чем вы, я о статьях Глубины siem. Возможно, это не то о чем вы пишите )))
источник

NA

Nikolai Arefiev in SOС Технологии
В любом случае посмотрю ваш проект, есть ряд идей. На неделе отпишусь Вам в личку, вдруг будет интересно.
источник

y

yugoslavskiy in SOС Технологии
Nikolai Arefiev
Ну не знаю о чем вы, я о статьях Глубины siem. Возможно, это не то о чем вы пишите )))
да нет, как раз о том и пишу. вы частично затронули эту тему в одной из первых статей.
вероятно, вы просто не называете то что делаете моделью данных, насколько мне извесно в PT это называли (пару лет назад) таксономией. правила именования полей, абстракции над сырыми данными, категоризация событий, модели объект-субъект-соединение и так далее.
источник