NA
Понятно, что есть разные малвари, кто по времени отдает, кто разный контент при https|http, кто аутентифицируется по сертификатам... стоит ли эти кейсы генерализировать?
Size: a a a
2020 October 12
12
Однако я все равно не согласен
Это тоже результат)
v
я с этим и не спорю. я лишь говорю что в рамках фидов на это надо бить
v
и срабатывать лучше на всё
12
Понятно, что есть разные малвари, кто по времени отдает, кто разный контент при https|http, кто аутентифицируется по сертификатам... стоит ли эти кейсы генерализировать?
а пример?)
RI
Понятно, что есть разные малвари, кто по времени отдает, кто разный контент при https|http, кто аутентифицируется по сертификатам... стоит ли эти кейсы генерализировать?
Если хочешь получать мета-сигнатуры - то да
$
и срабатывать лучше на всё
И получать «ваш фид - плохой»
NA
Ruslan Ivanov
Если хочешь получать мета-сигнатуры - то да
Я хочу сделать фид, который: 1. будет работать почти в любом SIEM. 2. Не потребует собирать 3-х этажный кластер из SIEM просто потому, что надо писать мего-правило корреляции для работы фида.
PK
Вот читаю я это всё и депрессую
Как асу-тп студенту в это все въехать т_т
Как асу-тп студенту в это все въехать т_т
PK
Сорян за оффтопыч
RI
Я хочу сделать фид, который: 1. будет работать почти в любом SIEM. 2. Не потребует собирать 3-х этажный кластер из SIEM просто потому, что надо писать мего-правило корреляции для работы фида.
Ты неправильно решаешь задачу, я тебе уже говорил, Стёпа говорил, да все уже говорили 😂
RI
Сделай категоризацию и репутацию объектов и сразу станет легче
NA
Ruslan Ivanov
Ты неправильно решаешь задачу, я тебе уже говорил, Стёпа говорил, да все уже говорили 😂
ну ок, SecureX умеет жевать мета-сигнатуры URL?
NA
Я готов сделать, давай запустим в SecureX, без проблем
12
Я хочу сделать фид, который: 1. будет работать почти в любом SIEM. 2. Не потребует собирать 3-х этажный кластер из SIEM просто потому, что надо писать мего-правило корреляции для работы фида.
тогда лучше по максимуму разобрать и затегировать фид
RI
Я хочу сделать фид, который: 1. будет работать почти в любом SIEM. 2. Не потребует собирать 3-х этажный кластер из SIEM просто потому, что надо писать мего-правило корреляции для работы фида.
В любом siem будут работать только генерализированные hash/ip/url фиды. С высоким количеством ошибок
NA
Ruslan Ivanov
Сделай категоризацию и репутацию объектов и сразу станет легче
У меня есть и категоризация и репутация... легче не становится
NA
тогда лучше по максимуму разобрать и затегировать фид
Да так тоже можно, но тогда я просто переношу проблему на голову пользователю: "Я тут напарсил, вот... разгребайте как хотите"
v
есть фиды. в них лежит десятки тысяч а иногда даже сотни тысяч всякого хлама. Ещё если у вас несколько фидов. то в одном будет snnbcweb.ksdleomxc6sadasd23df1gqe[.]xyz/pc/index.php , в другом https://snnbcweb.ksdleomxc6sadasd23df1gqe[.]xyz/pc/index.php в третем то что написали выше.
так вот я говорю лишь о том что в 99,999 это всегда про одно и то же. и более того есть не нулевая вероятность что по http://* окажется тоот же контент что по https://* .
когда мы "НЕМНОГО" упрощаем ссылку. мы радикально сокращаем трудозатраты на автоматическую обработку, (а так же склейку фидов) и единственное чем мы можем за это заплатить это оооооочень редким разбором фолсов. когда оказалось что по http:// было всё ОК! (пример с Watering hole он вообще редко про фиды, так как он должен быть очень таргетированным) ну или хакнули google и тогда всё равно мы google удалим из фида как фолс :) (шууууутка)
так вот я говорю лишь о том что в 99,999 это всегда про одно и то же. и более того есть не нулевая вероятность что по http://* окажется тоот же контент что по https://* .
когда мы "НЕМНОГО" упрощаем ссылку. мы радикально сокращаем трудозатраты на автоматическую обработку, (а так же склейку фидов) и единственное чем мы можем за это заплатить это оооооочень редким разбором фолсов. когда оказалось что по http:// было всё ОК! (пример с Watering hole он вообще редко про фиды, так как он должен быть очень таргетированным) ну или хакнули google и тогда всё равно мы google удалим из фида как фолс :) (шууууутка)
RI
Я хочу сделать фид, который: 1. будет работать почти в любом SIEM. 2. Не потребует собирать 3-х этажный кластер из SIEM просто потому, что надо писать мего-правило корреляции для работы фида.
Чтобы не писать мегаправило корреляции фид и должен включать в себя всё необходимое. Это и есть метасигнатура (это если ты хочешь точного детекта). Для защиты достаточно и репутационного знания что объект плохой