Я не про то, граф ли это согласно теории 😊 Вопрос в вычислительных возможностях, с ним связанных, в зависимости от его типа. Если бы граф был неориентированным было бы проще, но у вас он смешанный - местами ориентированный, местами - нет  (когда нет достаточно данных для анализа), местами связный, местами нет. А за этим сразу возникают различные, до сих пор нерешенные задачи в математике. Ну или они были нерешенными, когда я учился в институте

Многие попрежнему остаются нерешенными

если совсем серьезно, то визуализация конкретных предметных областей в виде графа, выбор онтологий, типов объектов, их атрибутов, какие атрибуты считать идентифицирующими(по набору которых при их равенстве - вершины объекты бы "схлопывались") - это такая глубина глубин, что ее постичь очень сложно :))) за 4 года участия в разработке подобного продукта, универсального решения так и не было найдено.

скажем так это не в gephi графы порисовать

Давайте попробую предложить вариант. Если относительно крупный центр мониторинга принимает информацию об атаках в любом виде с разных сторон плюс ведет свой разбор ВПО, то у него есть постоянный поток новых ИОК. Если их все сваливать в одну аналитическую систему и периодически смотреть на графах с таким вот fullview (хотя и с активным применением некоторых фильтров, "схлопывания" уровней, выделения областей и т.п.), то будут выявляться многочисленные неочевидные связи через несколько вершин между различными кампаниями, что приведет к относительно точному выявлению серий и аттрибутированию атак (привязке к ранее известной группе, классу ВПО и т.п.) . Прямая польза от этого - ускорение разбора входящего потока и, соответственно, повышение оперативности и точности информирования получателей информации. Заметьте, что исследовательская функция тут вторична, но она никуда не девается. Либо аналитик свободным поиском будет изучать серийные кампании, либо придет какой-то запрос, например, от участника или правоохранительного органа, либо подойдет время выпуска периодического публичного отчета)

Правда в такой аналитической системе визуализация по графам - только малая часть функциональных возможностей. Нужна еще интеграция с системой обработки инцидентов, расширенные возможности экспорта/импорта, полноценный API и т.п.

Прям очень круто и развернуто! Спасибо! Сохранил в меммориз )

Ну так сообщение накатать - не мешки ворочать) Это все еще предстоит нормально описать в ФТ/ТЗ, наложить на STIX 2.0 (или наоборот?) и наладить взаимопонимание с разработчиком)

Один из самых веселых этапов! Крепитесь :)

Ребят, может кто знает? Yandex все ещё Splunk используют в качестве SIEM?

А вы с какой целью интересуетесь? APT готовите на Яндекс? :)

За последние три года, в спланке была только одна серьезная уязвимость. Но я думаю, что ребята её давно уже закрыли. Так что нет, не готовлю АРТ.

Просто прикидываю, какие потенциальные работодатели в России используют спланк

А в спланковском чате вам точный ответ не дадут?)
@SplunkRU

Известная;))))

На хх ру можно в поиск вбить splunk

ну я как бы про целевую атаку говорил, а не про уязвимость

В группе по спланку как-то бросались вакансиями и там даже потом никого не забанили, т.ч. действительно стоит попробовать поспрашать там.

ИМХО однако кажется пора переучиваться на другие SIEM отличные от splunk или рассматривать более серьезно вопрос релокации.

ты жесток, ставишь человека перед выбором: : "Или Splunk, или Россия"