NA
Size: a a a
2020 June 18
JD
Всем привет. Закончил писать движочек парсинга твиттов. Теперь научился объединять твитты и данных из opensource источников IOC. Получился фид из вот таких файликов. Месяц-полтора будет работать в виде PoC, кому интересно, пишите, дам доступ на посмотреть.
Ты пытаешься обогтить фид за счет упоминания IOC в твиттере?
NA
я пытаюсь в контекст и связки индикаторов. Начал с твиттера, потом пойду по песочницам, потом публичным отчетам. Больше источников связок не нашел
NA
И тут наоборот, я обогащаю индикаторы из твиттера инфой из источников фидов.
2020 June 19
tn
может есть у кого на примете потоковый движок по обогащению или проверке ивентов на IoC? Так чтобы быстро и гибко.
NA
у касперыча
tn
CyberTrace? быстро, но не гибко
NA
ясно, а гибко и быстро - палка о двух концах
NA
всегда придется чем-то платить
tn
согласен. смотря сколько платить.
tn
CyberTrace, например, не богат на типы данных, моглибы и побольше и не сильно-то по скорости проиграли бы
NA
У меня была идея запилить свое, но я вовремя одумался. Т.ч. тоже было бы интересно узнать что есть, кроме CyberTrace.
tn
Некоторые предлагают как решение складывать ивенты во что-то типа эластика и потом запросами оттуда вытягивать по паттернам или маскам. Но както не потоково чтоли....
NA
это уже ретро анализ
NA
матчить на потоке можно и силами siem, если не так много индикаторов и есть cpu/ram
tn
Ретро если далеко в прошлое, я о сравнительно небольшой глубине поиска по времени, но часто.
NA
Если попробовать чуть более развернуто, то можно сначала ответить на вопросы: 1. Нужно ли генерить на найденные индикаторы инциденты. 2. Если да, уверены ли вы в качестве фида. 3. Кто будет на это все реагировать...там будет дофига сработок.
NA
Быть может в вашем случае можно и ретро-анализ делать и не заморачиваться на поточных вещах
tn
Ну это как бы лирика.
tn
Не про технологию