HT
Смотрите что мониторить в MITRE CAR (Cyber Analytic Repository)
https://car.mitre.org/wiki/Full_Analytic_List
https://car.mitre.org/wiki/Full_Analytic_List
Car к сожалению не развивается, там давно ничего нового не было
Size: a a a
2018 November 10
HT
Лучше смотреть MITRE ATT&CK , там в ссылки проваливаться на ресерчи и отчеты по атакам, где можно подчеркнуть информацию, что мониторить
HT
Я чуть больше полутыщи правил детектирующих на этом написал :)
HT
А для тех, кому лень ресёрчит, можно глянуть вот сюда https://github.com/Neo23x0/sigma/tree/master/rules/linux
AS
Лучше смотреть MITRE ATT&CK , там в ссылки проваливаться на ресерчи и отчеты по атакам, где можно подчеркнуть информацию, что мониторить
Привет, Теймур! Ну так CAR и ATT&CK как раз между собой связаны! Динамика появления в CAR очень низкая, ты прав. Но они открыты же к контребуторам, да и имеющаяся база будет полезна
HT
Привет, Теймур! Ну так CAR и ATT&CK как раз между собой связаны! Динамика появления в CAR очень низкая, ты прав. Но они открыты же к контребуторам, да и имеющаяся база будет полезна
За последний год ни одного нового CAR-а :)
AS
За последний год ни одного нового CAR-а :)
Это странно, конечно, так как техники то новые в ATT&CK появились, почему не появились аналитики к ним, не понимаю🤔
HT
Это странно, конечно, так как техники то новые в ATT&CK появились, почему не появились аналитики к ним, не понимаю🤔
Это большая и сложная работа
AS
Или может они покрываются старыми аналитиками? Надо проверить
HT
Или может они покрываются старыми аналитиками? Надо проверить
Не покрываются :)
AS
У них же вон в списке прямой мапинг техник к аналитике
HT
У них же вон в списке прямой мапинг техник к аналитике
Лишь в очень малой части техник
AS
HT
Это большая и сложная работа
Мы, например, целый год шли к тому, чтобы обеспечить покрытие матрицы MITRE дететектом на чуть более чем 70 процентов
HT
Мы, например, целый год шли к тому, чтобы обеспечить покрытие матрицы MITRE дететектом на чуть более чем 70 процентов
Это потребовало кучи аналитической работы, ресерча (эмуляция всех техник всеми публично доступными реализациями и инструмннтами), работы программистов по доработке сенсоров-поставщиков событий, инфраструктуры автоматического анализа событий и тд
A
Это потребовало кучи аналитической работы, ресерча (эмуляция всех техник всеми публично доступными реализациями и инструмннтами), работы программистов по доработке сенсоров-поставщиков событий, инфраструктуры автоматического анализа событий и тд
Я ж говорил, fidelis decoy и эмулируем все чего надо
2018 November 11
HT
Alexey
Я ж говорил, fidelis decoy и эмулируем все чего надо
Не все так просто )
A
Запросто
A
И подробный лог
SP
Говорю же, MITRE ATT&CK - вещь!
+++