Он про сервис,который используется для учений по фишенгу

Условно засылаешь тестовый фишенг по своей компании,с уникальным ссылками,а тебе отчёт- Петров решил увеличить член,а Иванова открыла постановление правительства об скидках для беременных

Вот теперь понятно.
Gofish

Любой awarness в общем

@Mutttttttttttttttttt вот видишь,лучшие телепаты справились

Привет всем! Сегодня на SOC Forum вещал про машобуч для триажа алертов. Говорят, было много вопросов в онлайне, видимо, рассказал не очень понятно. Выкладываю презу с текстом, о чем примерно хотел сказать. Всем счастья!  http://reply-to-all.blogspot.com/2020/12/soc-forum-2020-live.html

крутая преза

Привет всем!
Может кто поделиться ссылками или советами, как правильно подходить к процессу верификации иоков? Что вообще в себя включает этот этап? Какие-нибудь конкретные шаги/инструменты/ресурсы, которые могут помочь в этом? Короче, как верифицируются индикаторы?
Например, те же ip, которые в фри  фидах полностью без контекста? Или урлы... Заранее извиняюсь за возможно глупый вопрос, я совсем не в теме ti и только начинаю с ней знакомство.
Спасибо!

:)

мы вот тут про это немного писали https://cs.groteck.ru/IB_5_2020/24/index.html

Николай, спасибо, после прочтения смог чуть более точно сформулировать свою мысль😁 А именно то, что в данной статье описано как "определить принадлежность к определённой и насущной угрозе" или определить "связь между значением индикатора и тем или иным ВПО"
Ясно, что можно/нужно ручным методом, но кажется мне, что это беспощадный подход по отношению ко времени, который рискует отнять его целиком, пока не придешь к какой-либо автоматизации.
С ранжированием, каким-то базовым обогащением все более-менее понятно, но на этом далеко не уедешь, к сожалению.
Если не секрет, сколько индикаторов человек за день может обработать? В среднем. Я нафантазировал себе, пока что, в районе 5-7 в лучшем случае.

можно начать с простого https://www.alexa.com/topsites

Что значит "обработать"? Если проверить на появления в своей инфраструктуре, то это легко автоматизируется. Другое дело когда надо понять что делать если индикатор нашелся. В целом, имея только один индикатор, без какого либо контекста, то такое расследование может затянутся и на пол дня :) Free IOC без допила тяжело применить "в лоб"

Сайты из ТОП Алексы никогда не взламывали и они никогда на своих страничках не таскали малвари?

Даже если бы Гугл ломали, я бы рекомендовал его исключить из IoC ;) тем более, что обычно полламывают для редиректа, а не для хостинга сплоитов

Не разделяю, но понимаю такую точку зрения )

Могу путаться в терминологии. Имел в виду оценку качества индикатора. Поставщики фидов, прежде чем выкатить новый индикатор, как-то ведь определяют его на предмет, хотя бы, FP.

Искать индикатор в своей инфраструктуре, не зная ничего, кроме значения самого индикатора, конечно можно, но нужно ли?

Смотря какие поставщики. В паблик фидах много мусора и без фильтрации тут никак. Если из доступного, то alexa, umbrella, базы хороших хешей итд. Надо искать, гуглить. В идеале иметь что-то типа KSN/KPSN)

Если мы говорим о платных фидах, то чаще всего с ними перед публикацией "работают". Кто-то лучше кто-то хуже, но фолсят все с разной степенью.