MD
Позитивные начали брать на пол ставки, где-то что-то перевернулось
Size: a a a
2020 October 02
NM
отредактировала)
$
отредактировала)
Почти получилось)))
$
Пятница)
m
и не очевидно что для пенсионеров оно не подходит)))
почему? не берут пенсионеров в Blue teams?)
Z
max
почему? не берут пенсионеров в Blue teams?)
стажироваться)))))
NM
Почти получилось)))
😬
IS
Откуда такой наплыв?
$
Откуда такой наплыв?
Ссылка появилась в ряде каналов
$
Называть не буду
$
Не все знаю
MS
Это все боты )
IS
Это все боты )
Ну каждого хумана при стаже 3- можно за бота принять.=D
2020 October 03
S
Прошу сильно не пинать за возможно глупые вопросы, т.к. я ещё учусь.
Есть набор url из разных ioc. Есть Logstash / Elasticsearch.
Хочется проверять поток url из лога на вредоносность по списку url из ioc.
Проблема - в memcached не все url помещаются из-за ограничений максимальной длины ключа.
1. И, вероятно, правильно искать по частичному совпадению (url в логе может быть длиннее индикатора)? Тут я не уверен. Возможно, на практике так усложнять нет необходимости. Просто искать совпадение 1 к 1 и всё.
2. Если всё таки матчить, то чем? Вижу вариант в лоб - Ruby в logstash. Но не понятно, в каком объекте хранить ioc url'ы. Как его извне логстэша наполнять/синхронизировать (ioc url'ы берутся из фида).
3. Я в правильном направлении иду? Возможно, есть более простые технологии решения задачи?
Есть набор url из разных ioc. Есть Logstash / Elasticsearch.
Хочется проверять поток url из лога на вредоносность по списку url из ioc.
Проблема - в memcached не все url помещаются из-за ограничений максимальной длины ключа.
1. И, вероятно, правильно искать по частичному совпадению (url в логе может быть длиннее индикатора)? Тут я не уверен. Возможно, на практике так усложнять нет необходимости. Просто искать совпадение 1 к 1 и всё.
2. Если всё таки матчить, то чем? Вижу вариант в лоб - Ruby в logstash. Но не понятно, в каком объекте хранить ioc url'ы. Как его извне логстэша наполнять/синхронизировать (ioc url'ы берутся из фида).
3. Я в правильном направлении иду? Возможно, есть более простые технологии решения задачи?
$
Sergey D.
Прошу сильно не пинать за возможно глупые вопросы, т.к. я ещё учусь.
Есть набор url из разных ioc. Есть Logstash / Elasticsearch.
Хочется проверять поток url из лога на вредоносность по списку url из ioc.
Проблема - в memcached не все url помещаются из-за ограничений максимальной длины ключа.
1. И, вероятно, правильно искать по частичному совпадению (url в логе может быть длиннее индикатора)? Тут я не уверен. Возможно, на практике так усложнять нет необходимости. Просто искать совпадение 1 к 1 и всё.
2. Если всё таки матчить, то чем? Вижу вариант в лоб - Ruby в logstash. Но не понятно, в каком объекте хранить ioc url'ы. Как его извне логстэша наполнять/синхронизировать (ioc url'ы берутся из фида).
3. Я в правильном направлении иду? Возможно, есть более простые технологии решения задачи?
Есть набор url из разных ioc. Есть Logstash / Elasticsearch.
Хочется проверять поток url из лога на вредоносность по списку url из ioc.
Проблема - в memcached не все url помещаются из-за ограничений максимальной длины ключа.
1. И, вероятно, правильно искать по частичному совпадению (url в логе может быть длиннее индикатора)? Тут я не уверен. Возможно, на практике так усложнять нет необходимости. Просто искать совпадение 1 к 1 и всё.
2. Если всё таки матчить, то чем? Вижу вариант в лоб - Ruby в logstash. Но не понятно, в каком объекте хранить ioc url'ы. Как его извне логстэша наполнять/синхронизировать (ioc url'ы берутся из фида).
3. Я в правильном направлении иду? Возможно, есть более простые технологии решения задачи?
S
Спасибо. 100% подходит. Даже можно выбрать, как матчить.
Но не понял, есть ли смысл частично матчить (1й вопрос). Вероятно, приведет к увеличению false positive.
Но не понял, есть ли смысл частично матчить (1й вопрос). Вероятно, приведет к увеличению false positive.
$
Sergey D.
Спасибо. 100% подходит. Даже можно выбрать, как матчить.
Но не понял, есть ли смысл частично матчить (1й вопрос). Вероятно, приведет к увеличению false positive.
Но не понял, есть ли смысл частично матчить (1й вопрос). Вероятно, приведет к увеличению false positive.
Такие решения всегда принимаются после ответа куда ты готов вбухать ресурсы. В одном случае у тебя это перед эластиком делается. В другом на эластике.
Разные выигрыши и затраты
Разные выигрыши и затраты
2020 October 05
y
Переслано от yugoslavskiy
следующий спринт инициативы OSCD состоится 5-го Октября, через 3 недели.
мы сосредоточимся на трех областях — Simulation, Detection & Response.
будем разрабатывать тесты Atomic Red Team, TheHive Responders, и правила Sigma, улучшая их покрытие фреймворков MITRE ATT&CK и ATC RE&CT.
задач много, и они очень разные — от написания правил Sigma по готовым поисковым запросам (20-30 минут) до разработки модулей реагирования TheHive на Python (16+ часов).
присоединяйтесь!
https://twitter.com/oscd_initiative/status/1305748180517224449
мы сосредоточимся на трех областях — Simulation, Detection & Response.
будем разрабатывать тесты Atomic Red Team, TheHive Responders, и правила Sigma, улучшая их покрытие фреймворков MITRE ATT&CK и ATC RE&CT.
задач много, и они очень разные — от написания правил Sigma по готовым поисковым запросам (20-30 минут) до разработки модулей реагирования TheHive на Python (16+ часов).
присоединяйтесь!
https://twitter.com/oscd_initiative/status/1305748180517224449
Привет!
Второй спринт OSCD начинается уже завтра (:
Второй спринт OSCD начинается уже завтра (:
2020 October 07
y
Z
@stvTel удаляй его сразу, ему нужен донат