NA
для этого другие фиды должны отрабатывать
Size: a a a
2020 March 04
RI
Даю подсказку - почему фиды должны быть разными для IP, url, dns и иже с ними?
RI
Подсказка более высокого уровня - зачем изобретали STIXы и транспорт для них типа TAXII?
NA
Давайте перевернем пирамиду боли и посмотрим на нее под углом просеивания данных. Т.о. внизу будут IP вверху TTP. Строгость очистки фидов должна повышаться с каждым уровнем. При таком подходе совместное использование разных типов атомарных фидов тоже может давать положительный эффект.
RI
Нет
NA
RI
Продолжайте эксперементы - вас ждёт ещё множество открытий 👍
$
Давайте перевернем пирамиду боли и посмотрим на нее под углом просеивания данных. Т.о. внизу будут IP вверху TTP. Строгость очистки фидов должна повышаться с каждым уровнем. При таком подходе совместное использование разных типов атомарных фидов тоже может давать положительный эффект.
Нет
NA
Черт! Вы мастера аргумантации :) Убедили.
$
Черт! Вы мастера аргумантации :) Убедили.
Ну не просто так в стиксах появились связи.
Не просто так грибы орут про графовый анализ и тд
Не просто так грибы орут про графовый анализ и тд
NA
А я его разве отменил
NA
я "перевернул пирамиду", а не отрезал кусок
RI
Именно. Это та самая ситуация, когда контекст часто важнее самой информации
$
Отдельно взятые сущности рассматривать без контекста - глупо.
Ровно так же как формировать фид на отсеивании или слепом доверии индикатору без контекста
Ровно так же как формировать фид на отсеивании или слепом доверии индикатору без контекста
RI
Ruslan Ivanov
Именно. Это та самая ситуация, когда контекст часто важнее самой информации
Это к комменту Стёпы
$
А я его разве отменил
Ты ничего не отменял. Ты пытаешься подменить понятия и сказать что чистить нужно отдельные сущности без контекста
NA
Как только вы графы со всем контекстом сможете применять на потоке 20-50К EPS, вот тогда... все это выйдет на другой уровень, а не уровень отложенного Ретро анализа через 5 суток.
$
А это подмена)
NA
$
Как только вы графы со всем контекстом сможете применять на потоке 20-50К EPS, вот тогда... все это выйдет на другой уровень, а не уровень отложенного Ретро анализа через 5 суток.
Ровно до тех пор пока вы мыслите отдельными IOC’ами - ваша ИБ - алхимия и очковтирательство