A
Как работать с этим в SIEM?
Ну как раз если оставить https /http то работать будет збагойно
Size: a a a
2020 October 12
RI
Всем привет. Впал в ступор при формировании фида по URL. Скажите, пожалуйста, при обработке IOC важно ли сохранять схему (http(s)) и параметры(?). Ступор возник из-за того, что многие URL доступны как с http, так и https и вот обработать такую ситуацию в SIEM достаточно тяжело.
Строго говоря у тебя могут отдаваться разные обьекты в зависимости от метода доступа - http или https.
NA
Поэтому слушайте меня:).
Вот я близок сейчас к тому же мнению
$
Ну вот тогда зачем и разбивать )))
Для точности
$
Ruslan Ivanov
Строго говоря у тебя могут отдаваться разные обьекты в зависимости от метода доступа - http или https.
Точно
NA
Ruslan Ivanov
Строго говоря у тебя могут отдаваться разные обьекты в зависимости от метода доступа - http или https.
Вот это надо проверить... пока такого не встречал
T
Проверять https, запретить http, сославшись на XXI век)
$
Вот это надо проверить... пока такого не встречал
Ого)
RI
NA
Проверять https, запретить http, сославшись на XXI век)
и TLS на ГОСТ
$
Тогда ты много чего не встречал)
12
Как работать с этим в SIEM?
да, можно регулировать, но лучше если подготовить фид с тэегами в json "protocol": "http", "protocol": "https",
RI
Поэтому слушайте меня:).
Да, ББ!!!
$
Ruslan Ivanov
Так это же базовый алгоритм, он в NLP используется - семантические единицы, или как он там правильно разбирается. Такой подход ещё и очень быстрый поиск позволяет сделать
Да, но сием не умеют. И большинство СЗИ
$
да, можно регулировать, но лучше если подготовить фид с тэегами в json "protocol": "http", "protocol": "https",
Стикс 2.1?)
RI
Вот это надо проверить... пока такого не встречал
Довольно частое поведение для loader
NA
да, можно регулировать, но лучше если подготовить фид с тэегами в json "protocol": "http", "protocol": "https",
Да, тоже вариант... запросы только тяжелее будут к спискам/активлистам/реф.сетам
NA
Ruslan Ivanov
Довольно частое поведение для loader
ок, погляжу подборку отчетиков по реверсу. Как-то не обращал на это внимание, спасибо.
12
Да, тоже вариант... запросы только тяжелее будут к спискам/активлистам/реф.сетам
умоляю) это облегчит всем жизнь на 82%, а нагрузит коррелятор на 3% 😁
v
Ruslan Ivanov
Строго говоря у тебя могут отдаваться разные обьекты в зависимости от метода доступа - http или https.
Да но если у тебя сработал иок на snnbcweb.ksdleomxc6sadasd23df1gqe[.]xyz/pc/index.php
А в оригинальном фиде было то что написано выше. То вероятность фолса на столько мала, что меньше даже фолс негатив от того что по http доступен тот же контент что и по https. (А как мы понимаем в фиде не было http://*)
А в оригинальном фиде было то что написано выше. То вероятность фолса на столько мала, что меньше даже фолс негатив от того что по http доступен тот же контент что и по https. (А как мы понимаем в фиде не было http://*)