Size: a a a

SOС Технологии

2019 February 19

Z

Zer0way in SOС Технологии
интересно что предложит pt:)
источник

B

Bdr777 in SOС Технологии
yugoslavskiy
давайте сделаем свой велик потому что:
- "посмотрите люди не хотят делать сами но им очено надо"
- "посмотрите люди сами пилят этим проклятые велики каждый по своему а мы сделаем так что всем понравится!"
Попробуйте поэксплуатировать misp в продакшн soc'а в условном режиме slave
источник

ВД

В Д in SOС Технологии
Bdr777
Я тоже такое слышал ещё в 2017, но процесс шел специфически, и я не уверен что без личных связей он бы закончился
Нет никакой проблемы в этом вопросе
источник

y

yugoslavskiy in SOС Технологии
> MISP не про хранение

можете подробнее описать в чем проблема с хранением данных в MISP?

>  очень ограниченно про сбор

Зависит от определения слова "сбор". Вы про какой сбор? Я про синхронизацию фидов и сохранение их в локальной базе, например. Добавление своих данных тоже не проблема, это основная функциональность.

> на нормальном стеке

Переписать на go? (: Видел ваши аналайзеры в репо thehive, по соседству с нашими.

> с вменяемой архитектурой

Александре — нормальный чел. Они принимают любые запросы и довольно отзывчивы. Посоветуйте им как оно должно быть на ваш взгляд, вполне вероятно запрос будет услышан. На мой взгляд лучше улучшать существующее, чем строить новое. Потому что это не только про техническое решение, но и про подход. Основное достижение ребят это евангелизация threat sharing, самой культуры. И их продукт на этой идее стоит, в первую очередь.
источник

y

yugoslavskiy in SOС Технологии
Bdr777
Попробуйте поэксплуатировать misp в продакшн soc'а в условном режиме slave
мы используем. полет нормальный.
источник

B

Bdr777 in SOС Технологии
yugoslavskiy
мы используем. полет нормальный.
Первые месяца три было нормально в моем кейсе, да
источник

B

Bdr777 in SOС Технологии
Потом стало больше данных и больше запросов к misp...
источник

V

Valentin in SOС Технологии
по моему опыту, при большой базе, misp начинает ломаться и странно себя вести
источник

V

Valentin in SOС Технологии
а поиски вылетают в time out
источник

V

Valentin in SOС Технологии
было бы не плохо, если бы они отказались от mysql
источник

IG

Ilya Glotov in SOС Технологии
yugoslavskiy
> MISP не про хранение

можете подробнее описать в чем проблема с хранением данных в MISP?

>  очень ограниченно про сбор

Зависит от определения слова "сбор". Вы про какой сбор? Я про синхронизацию фидов и сохранение их в локальной базе, например. Добавление своих данных тоже не проблема, это основная функциональность.

> на нормальном стеке

Переписать на go? (: Видел ваши аналайзеры в репо thehive, по соседству с нашими.

> с вменяемой архитектурой

Александре — нормальный чел. Они принимают любые запросы и довольно отзывчивы. Посоветуйте им как оно должно быть на ваш взгляд, вполне вероятно запрос будет услышан. На мой взгляд лучше улучшать существующее, чем строить новое. Потому что это не только про техническое решение, но и про подход. Основное достижение ребят это евангелизация threat sharing, самой культуры. И их продукт на этой идее стоит, в первую очередь.
Полностью согласен про последний пункт, и уважаю труд ребят, но к сожалению, реально проще переписать все решение.

MISP становится крайне неповоротливым при попытке хранить в нем 10М+ индикаторов и постоянно вгружать новые. У нас данных по обогащениям и категоризациям по всем индикаторам в порядке миллиарда и, разумеется, Mysql вообще непредназначен для такого.

Быстрый лукап для проверки индикатора - это тоже не про MISP.

MISP можно использовать для алертинга по новым угрозам, для шеринга инцов и эпизодического импорта/экспорта эвентов, созданных в ручном или полуручном виде - из TheHive, например.
источник

B

Bdr777 in SOС Технологии
Переделали скрестив с редис
источник

B

Bdr777 in SOС Технологии
Но это было совсем не просто
источник

V

Valentin in SOС Технологии
поделитесь форком?
источник

B

Bdr777 in SOС Технологии
Valentin
поделитесь форком?
Уволился оттуда
источник

Z

Zer0way in SOС Технологии
почитал, таким тупым себя ощутил;)
источник

ВД

В Д in SOС Технологии
Misp это framework.  Дальше нужно три-четыре разработчика и делать под себя. Большая задача, если нужно много данных и внешних источников
источник

y

yugoslavskiy in SOС Технологии
Ilya Glotov
Полностью согласен про последний пункт, и уважаю труд ребят, но к сожалению, реально проще переписать все решение.

MISP становится крайне неповоротливым при попытке хранить в нем 10М+ индикаторов и постоянно вгружать новые. У нас данных по обогащениям и категоризациям по всем индикаторам в порядке миллиарда и, разумеется, Mysql вообще непредназначен для такого.

Быстрый лукап для проверки индикатора - это тоже не про MISP.

MISP можно использовать для алертинга по новым угрозам, для шеринга инцов и эпизодического импорта/экспорта эвентов, созданных в ручном или полуручном виде - из TheHive, например.
источник

Z

Zer0way in SOС Технологии
yeti как вам?
источник

AK

Alexey Kachalin in SOС Технологии
Подгон этомучату
источник