Он про хэш тэги

Слишком многа

Описание на гите выглядит вкусно :)

Вот контента мало пока :(

тема не в контенте который предоставляется проектом, а в автоматизации работы с внутренней аналитикой

Химмм видимо я не под тем углом смотрю на проект. Что я там вижу: подход к тому чтобы sigma-правила начали работать. Описание того какие источники нужны, какие данные должны быть в событиях (обогащение), сами правила, описание реакции на их срабатывание.

Я могу ошибаться в выводах, т.к. пока поверхностно просмотрел репозиторий

Да, ещё и стадия mitigation затронута

совершенно верно. но это не база знаний в которую нужно ходить за тем чтобы забирать новую аналитику по обогащению/детекту/респонсу. это механизм для создания собственной базы знаний (:

Видимо, вот этого я и не уловил.

берете ваш приватный форк сигмы. берете ваш приватный форк atomic red team. скармливаете это дело проекту и на выходе получаете вот такое

Да, неплохо.

Днём поплотнее поразбираюсь с этим инструментом. Автогенераторы - хорошо, но вот несколько качественный результат получается...

изначально мы делали проект как Proof Of Concept для MITRE, у нас после люксембургского воркшопа EU ATT&CK community [1] сложилась инициативная группа по оживлению MITRE CAR [2], который, как вы знаете, умер уже пару лет как. Мы несколько вечеров с пацанами посидели, сделали эту штуку, отправили всей инициативной группе (которая включала ребят из MISP [3], TheHive [4], Sigma [5], несколько CERTов) перед звонком с MITRE.

Через пару дней на самом звонке выяснилось что ребята из MITRE как-то не очень заинтересованы в новом подходе с автоматической генерацией всего и вся, и будут продолжать проект в старом формате но с новой оберткой. Мы подумали что в общем-то и хрен с ними, мы и сами все сделаем на ура.

Такие дела.

[1] https://www.attack-community.org/2018-05-29-Workshop-in-Luxembourg/
[2] https://car.mitre.org
[3] https://www.misp-project.org
[4] https://thehive-project.org
[5] https://github.com/Neo23x0/sigma

Ваш подход меня близок, и что-то похожее я описываю в цикле теоретических статей на Хабре. Но я там иду от событий и поднимаюсь до уровня правил корреляции.

А, это у вас статьи про модель данных? Горячий топик, Elastic представил свою модель (ECS), с новой версией битсов будет использоваться по умолчанию. Sigma тоже пока в поиске, но склоняются к спланковской.

Ну не знаю о чем вы, я о статьях Глубины siem. Возможно, это не то о чем вы пишите )))

В любом случае посмотрю ваш проект, есть ряд идей. На неделе отпишусь Вам в личку, вдруг будет интересно.

да нет, как раз о том и пишу. вы частично затронули эту тему в одной из первых статей.
вероятно, вы просто не называете то что делаете моделью данных, насколько мне извесно в PT это называли (пару лет назад) таксономией. правила именования полей, абстракции над сырыми данными, категоризация событий, модели объект-субъект-соединение и так далее.