NA
Отображать новые области лишь тогда, когда аналитик подходит к границе "тумана" или таргетным запросом находит новый объект в "тумане". В общем это уже дело техники
Size: a a a
2020 July 02
NA
Alexey Lukatsky
Вот детализация (у нас)
Вот поэтому то вопрос, какие задачи можно решать имея перед собой такой full view?
RI
Alexey Lukatsky
Нет. Это граница 2010-х
Ну тогда у Sourcefire уже был RNA, скорее всего.
NA
Опять таки, судя по описанным кейсам, работа идет всегда в некой области или подграфе
NA
Нужен ли этот fullview с такой детализацией в полном объеме? На какие вопросы аналитики он должен отвечать? Можно ли на них ответить имея более укрупненную картину )
AL
Отображать новые области лишь тогда, когда аналитик подходит к границе "тумана" или таргетным запросом находит новый объект в "тумане". В общем это уже дело техники
Там встанет проблема визуализации и скорости отрисовки картинок, что можно потребовать специфических GPU, что может влететь в копеечку - не все потянут
RI
Alexey Lukatsky
Ну у вас это можно сделать по-разному - зависит от задачи. Верщины графа - узлы, пользователи, приложения, контейнеры, микросервисы, уязвимости и т.п. Веса ветвей - наличие уязвимости, сложность ее реализации, стоимость реализации, время на переход и т.п. Дальше либо сложение весов, либо перемножение вероятностей...
Вот всю военную тайну сдал :))
VB
Alexey Lukatsky
похоже на картинку из ibm i2
NA
Я не помню, чтобы Yandex.Maps требовал GPU
AL
Нужен ли этот fullview с такой детализацией в полном объеме? На какие вопросы аналитики он должен отвечать? Можно ли на них ответить имея более укрупненную картину )
Для векторов атак пойдет, если разнести схожие сущности по кластерам и оперировать кластерами
AL
похоже на картинку из ibm i2
RedSeal
AL
Ruslan Ivanov
Вот всю военную тайну сдал :))
Ну это на поверхности лежит. Моделирование угроз методом Attack Tree
AL
Опять таки, судя по описанным кейсам, работа идет всегда в некой области или подграфе
Вот пример использования "а-ля граф" при расследовании инцидента, обогащенного IOCами. Но граф ли это в классическом понимании? Возможно
NA
Т.е. в принципе, если определиться с принципами кластеризации подграфов (ручная - свертывание, развертывание групп, или автоматом - modularity или иной класс алгоритмов) то можно заменить full view более компактной версией, при этом не теряя полезности для анализа
RI
Я иронизирую, Лёш. А по существу - Коля правильную вещь затеял
NA
ребра есть, узлы есть = граф )
RI
Alexey Lukatsky
Вот пример использования "а-ля граф" при расследовании инцидента, обогащенного IOCами. Но граф ли это в классическом понимании? Возможно
Граф. Он и технически им является.
RI
Т.е. в принципе, если определиться с принципами кластеризации подграфов (ручная - свертывание, развертывание групп, или автоматом - modularity или иной класс алгоритмов) то можно заменить full view более компактной версией, при этом не теряя полезности для анализа
Именно.
RI
Более того, тебе сразу станет доступен весь букет вкусных оптимизаций память/скорость
NA
Просто как-то игрался с задачей поиска сильносвязных сообществ (подграфов) ее сложность O(N) т.ч. задача NP-полная и на этапе поиска самих подграфов жрет много ресурсов.