хз чем они не понравились

А в Вашей организации на все типичные кейсы есть правила, покрытие логами, покрытие процедурами реагирования?

На 5-10к юзеров только минимум 5 человек будет лопатить заявки на доступ

А вообще кроме identity management будет ещё secops, appsec, grc, плюс бюджеты, отчёты, закупки и прочая Энтерпрайз лабуда

а чем они должны были понравиться?
пока что кроме красивой картинки о них по прежнему ничего не известно.
ну, т.е. не совсем.

известно что некий кент бегал по рынку в 3к правилами корреляции в 2014м.
учитывая год и развитие темы threat detection, моделей угроз и тд, я могу предположить что там было 100500 вариаций детекшена для брутфорса. но утверждать ничего не могу.

затем, в конце 2014го этот кент зарегал домен и нанял норм веб дизайнеров чтобы создать сок прайм. открестился от россии с ходов, догадаться что корни славянские можно только по именам в разделе лидершип. и то там вместо родного Андрея висит некое "Andrii". контакты были указаны только в UK, позже добавили контакты в штатах.

затем, в 2016м, кент интегрировал во все это дело MITRE ATT&CK Framework. Ну то есть как. смапил правила.

на данный момент на сайте указано что там 5к + правил. Вить, ты говоришь там 30к. Что я могу сказать. В природе пока не существует такого количества качественных правил. И мы недавно нашли ответ откуда у них такая гора. Зацени

парам-парам-пам. хеши, домены и ip адреса в правиле корреляции. genious. дарю всем ушлым дельцам бизнес-план:
- берете MISP, выдергиваете все говно что там есть, не важно что ему уже 100500 лет и оно не актуально
- автоматически фигачите это дело в правила в формате SIGMA. у вас 30к + правил за пару недель
- называете компанию SOC HUIPRIME и мапите все к ATT&CK
- ни слова о том что вы из россии
- профит

мне нравится ход Ваших мыслей, коллега!

интересно, как это прокоментирует Igor

Подскажите, а ИП сложно организовать в Финляндии? Я тут в интернетах подчерпнул отличную идею для стартапа. Инфа проверенная, бизнес-модель рабочая

Да, стартап в области ИБ будет... Что-то с TI

Добрый вечер! Отлично все описано, спасибо, сделали вечер ;) но все немножко не так.

Да у нас есть сигмовские рулы с гитхаба, да их розмапили на митру, он лежит в свободном доступе и у нас, но есть контент который мы сами пишем и его не мало.

Есть рулпаки, и они как и сам портал создавались как мультивендорный контент под различные сием технологии. Цель простая преследовалась, работаешь ты в компании 1 пишешь контент, уходишь в другую компанию, опять с нуля пишешь то что ранее писал... а зачем? Вот есть портал, зашёл скачал универсальный кейс, натянул на свою инфраструктуру и поддерживай его.

Почему наш вектор развития повернулся в сторону разработки сигма рулов? Да все просто, сигму писать минуты, кейс долго...

А тут ещё и конвертирование его под другие платформы, не все могут себе арксайт позволить. Быстро и эффективно.

На основе рулов можно кейсы и строить, опять таки либо IoC base или threat hunting