v
TIP это не только хранение индикаторов, это ещё и их обогащение. смотреть надо и в эту сторону. обогатить как внешними средствами (благословенный хуиз) так и внутренними - песочница например и др.
Size: a a a
2020 May 26
NA
Не вздумай ставить это ко мне в разработку)
этот код у мну
$
TIP это не только хранение индикаторов, это ещё и их обогащение. смотреть надо и в эту сторону. обогатить как внешними средствами (благословенный хуиз) так и внутренними - песочница например и др.
Абажжи.
Какое нафиг обогащение для конкретной организации?
Какое нафиг обогащение для конкретной организации?
$
этот код у мну
Да знаю я вас... сегодня у вас - завтра мне втюхиваете
NA
Да знаю я вас... сегодня у вас - завтра мне втюхиваете
я не такой
Z
Да знаю я вас... сегодня у вас - завтра мне втюхиваете
внутренние тёрки)))
$
я не такой
Все так говорят (с)
$
Шучу
NA
Покупайте уже обогащеннве фиды со скорингом и после жесткооо вайтлистинга))) и проблем будет меньше
$
TIP это не только хранение индикаторов, это ещё и их обогащение. смотреть надо и в эту сторону. обогатить как внешними средствами (благословенный хуиз) так и внутренними - песочница например и др.
Я к тому что я купил фид, потом могу купить подписку на вирустотал... потом на какой-нибудь амбреллу...
зачем я фид покупал?
зачем я фид покупал?
$
Покупайте уже обогащеннве фиды со скорингом и после жесткооо вайтлистинга))) и проблем будет меньше
Да в точку!
v
Я к тому что я купил фид, потом могу купить подписку на вирустотал... потом на какой-нибудь амбреллу...
зачем я фид покупал?
зачем я фид покупал?
мне прислали на почту подозрительный файл. я запустил его в песке. песок увидел хеши всех распоковавших файлов и увидел куда он пошел стучаться во вне. Эти DNS и IP адреса и хеши неплохо было бы класть прям в TIP как внутренний ИОК. и если оно вдруг пересеклось с каким либо внешним ИОКом то всё - хана тузику
$
мне прислали на почту подозрительный файл. я запустил его в песке. песок увидел хеши всех распоковавших файлов и увидел куда он пошел стучаться во вне. Эти DNS и IP адреса и хеши неплохо было бы класть прям в TIP как внутренний ИОК. и если оно вдруг пересеклось с каким либо внешним ИОКом то всё - хана тузику
Ты много таких песочек знаешь?)))
v
потому песок не возвращает все эти аттрибуты в SIEM. и от туда мы их уже не проверим по спискам
$
Первый вопрос
v
Ты много таких песочек знаешь?)))
я в угаре пресейла, не мешай мне! :)
v
ОДНУ - СВОЮ :)
$
я в угаре пресейла, не мешай мне! :)
А второй - та единственная что сейчас есть на рынке (вторая ещё дико сырая) - сама все это уже делает)
$
ОДНУ - СВОЮ :)
И да, я не про вашу, вы очень плохо умеете в api
$
Не про ваши продукты*