v
а ретро проверка по иокам исторических данных, это можно и ночью запускать.
Size: a a a
2020 May 26
RI
ты конечно прав, спору нет. Но давайте признаем это история только для избранных
Скажем так - для тех, кто морально и технически дорос
$
Ну как бэ и я о том... )
Там речь о ретро. Речь о ли что для ретро используется отдельная хранилка с определенным небольшим скоупом.
Когда появляется новый иок и нужно ретро - идем в эту систему и смотрим там.
Если что-то нашли - лезем в логи уже конкретной системы и забираем там.
Это если коротко и на пальцах
Когда появляется новый иок и нужно ретро - идем в эту систему и смотрим там.
Если что-то нашли - лезем в логи уже конкретной системы и забираем там.
Это если коротко и на пальцах
NA
а ретро проверка по иокам исторических данных, это можно и ночью запускать.
если у тебя есть sla, то нет. в случае эпидемии и форсмажора - нет. в идеале это автоматом при появлении нового индикатора.
RI
ip,domainname, hash?
Могу подсказать как упростить.
Z
Ruslan Ivanov
Могу подсказать как упростить.
та не, оно мне пока без надобности. цены на фиды кусаются)
A
потому что больше негде
Ретро не про сием Вов
v
если у тебя есть sla, то нет. в случае эпидемии и форсмажора - нет. в идеале это автоматом при появлении нового индикатора.
я не говорю что оперативная история не имеет смысла, очень даже полезная, но в исходном запросе её не было.
$
Ruslan Ivanov
Скажем так - для тех, кто морально и технически дорос
Кому это действительно нужно.
Технический рост тут совсем не при чем
Технический рост тут совсем не при чем
RI
+url+registry
+object_type и далее везде
v
а оперативное реагирование извините не в SIEM надо делать, а на FW
A
Тяжелая артилеррия подтянулась, привет Рус)
A
а оперативное реагирование извините не в SIEM надо делать, а на FW
Обогащение ты хотел сказать?
v
Ретро не про сием Вов
ну у меня в SIEM ретро есть и им тот же ESC пользуется.
A
Это не то ретро
v
Обогащение ты хотел сказать?
нет там речь выше про эпидемии и так далее, я говорю что такие вещи не для сиема а для блокировки на FW
$
ну у меня в SIEM ретро есть и им тот же ESC пользуется.
Все что вы скажете может быть передернуто и использовано против вас в...
A
нет там речь выше про эпидемии и так далее, я говорю что такие вещи не для сиема а для блокировки на FW
Ох ты сейчас закопаешь себя...
e
Там речь о ретро. Речь о ли что для ретро используется отдельная хранилка с определенным небольшим скоупом.
Когда появляется новый иок и нужно ретро - идем в эту систему и смотрим там.
Если что-то нашли - лезем в логи уже конкретной системы и забираем там.
Это если коротко и на пальцах
Когда появляется новый иок и нужно ретро - идем в эту систему и смотрим там.
Если что-то нашли - лезем в логи уже конкретной системы и забираем там.
Это если коротко и на пальцах
Это понятно, я к тому, что порядок количества записей с типом URL в этой внешней системе, которые нужно проверить по IOC, сопоставим с количеством строк лога прокси-сервера.
Ну ладно, если делаете, то молодцы )
Ну ладно, если делаете, то молодцы )
v
Ох ты сейчас закопаешь себя...
?