Телеграмм чат группы phd

Хороший маппинг => счастливый аналитик =)

13:38пожаловаться #1

Z

Zer0way in SOС Технологии

e6e6e

Критерий оценки про фолзовость был обозначен.
>> в чём ценность наличия маппинга с точки зрения оценки качества правила?
Наличие адекватного маппинга значительно повышает как понимание целостности покрытия модели угроз, так и помогает при разборе конкретного инцидента.

во загнул:)))

13:38пожаловаться #2

e

Zer0way

во загнул:)))

А что не так? )

13:38пожаловаться #3

e

Просто мне не нравится когда адекватные мысли передергивают не в то направление...

Roman Sergeev in SOС Технологии

13:39пожаловаться #4

RS

Давайте рассмотрим пример T1087 Account discovery. Формальное покрытие достигается наличием одного детекта из десятка возможных. В итоге мы имеем бинарную характеристику качества, в которой 10 и 1 равны своим превосходством над 0.
При этом лично мне кажется, что практическая ценность 0 и 1 на фоне 10 практически идентична

13:51пожаловаться #5

e

Roman Sergeev

Давайте рассмотрим пример T1087 Account discovery. Формальное покрытие достигается наличием одного детекта из десятка возможных. В итоге мы имеем бинарную характеристику качества, в которой 10 и 1 равны своим превосходством над 0.
При этом лично мне кажется, что практическая ценность 0 и 1 на фоне 10 практически идентична

Ты забыл дописать, что покрытие одним правилом это условно 1/10. Кто мешает сделать 10 правил с маппингом на одну технику?

Roman Sergeev in SOС Технологии

13:54пожаловаться #6

RS

Никто не мешает. Я про простые критерии оценки набора

13:54пожаловаться #7

e

Простой критерий:
есть хороший маппинг - хорошо
нет - плохо

13:55пожаловаться #8

y

e6e6e

Хороший маппинг => счастливый аналитик =)

именно %)

14:30пожаловаться #9

y

Roman Sergeev

Давайте рассмотрим пример T1087 Account discovery. Формальное покрытие достигается наличием одного детекта из десятка возможных. В итоге мы имеем бинарную характеристику качества, в которой 10 и 1 равны своим превосходством над 0.
При этом лично мне кажется, что практическая ценность 0 и 1 на фоне 10 практически идентична

что значит "формальное покрытие"? типо "хотя бы что-то"? это известная проблема и я уже выше писал что над "покрытием" сейчас усердно работают

14:32пожаловаться #10

y

14:36пожаловаться #11

y

[1] https://mitre-attack.github.io/attack-navigator/enterprise/
[2] https://raw.githubusercontent.com/krakow2600/atomic-threat-coverage/master/analytics/generated/attack_navigator_profiles/atc_attack_navigator_profile.json

14:36пожаловаться #12

AL

Alexey Lukatsky in SOС Технологии

» Но если кто-то продает sigma rules, то очевидно, что он должен качественно доработать их.
Ну... почему-то к фидам такого требования никто не предъявляет 😊 80% мусора. И ничего, покупают

15:07пожаловаться #13

e

Alexey Lukatsky

» Но если кто-то продает sigma rules, то очевидно, что он должен качественно доработать их.
Ну... почему-то к фидам такого требования никто не предъявляет 😊 80% мусора. И ничего, покупают

Вот уж не думал, что так получится...
Но я согласен. Да и Владимир Бенгин то же)

15:10пожаловаться #14

e

Бенгин Уральский форум 2019.pdf

vbengin

(552.04 Кб)

Up

15:11пожаловаться #15

V

Valentin in SOС Технологии

Alexey Lukatsky

» Но если кто-то продает sigma rules, то очевидно, что он должен качественно доработать их.
Ну... почему-то к фидам такого требования никто не предъявляет 😊 80% мусора. И ничего, покупают

а кто эти 20%, которые продают не мусор ?

15:23пожаловаться #16

AL

Alexey Lukatsky in SOС Технологии

80/20 - это соотношение не TI-вендоров, а их фидов

15:25пожаловаться #17

Z

Zer0way in SOС Технологии

не одного положительного отзыва о ti.. зачем его тогда покупают?