$
вы описываете определение через его следствие. атрибуция - это прежде всего кто. в своем примере с альтернативным источниками я как раз на это и хотел указать.
Кто - частный случай.
Size: a a a
2019 May 14
$
У вас тушка. Она что-то делает. Вы получаете с неё атрибуты. Ищите характерные для «кто»
IG
с тушки я получаю айоки
$
А это не атрибуты?
$
Ну ок тогда, что
IG
нет. вот когда у меня есть несколько атак с разными TTPs и я узнаю, что это был один актор, у меня появляется атрибуция на эти TTPs, и я могу связывать их таким образом через эту атрибуцию
$
нет. вот когда у меня есть несколько атак с разными TTPs и я узнаю, что это был один актор, у меня появляется атрибуция на эти TTPs, и я могу связывать их таким образом через эту атрибуцию
Я уже с вами согласился, можете выдохнуть. Вы победили.
ДЮ
Мы прост начали с атрибуции и ее необходимости, а вы продолжили с «мне атрибуция не нужна, нужно вот это»
ДЮ
Давайте выслушаем тех кому она интересна / не интересна с причинами
AL
А это не атрибуты?
Вот, мля, с этого и надо было начинать. Если IOC = атрибуты, то все супер и ты прав. Но IOC != атрибуты в классическом понимании атрибуции. Это именно КТО и ЗАЧЕМ и все. IOC - это ЧТО. ТТР - это КАК. В большинстве случаев тебе достаточно ЧТО и КАК.
$
Но определение «атрибут» лучше погуглить
$
Alexey Lukatsky
Вот, мля, с этого и надо было начинать. Если IOC = атрибуты, то все супер и ты прав. Но IOC != атрибуты в классическом понимании атрибуции. Это именно КТО и ЗАЧЕМ и все. IOC - это ЧТО. ТТР - это КАК. В большинстве случаев тебе достаточно ЧТО и КАК.
Ты не с той стороны смотришь
AL
Ты не с той стороны смотришь
Да, я испорчен SANSовскими курсами и общением с американцами. У них кибератрибуция - достаточно узкое понятие и находится на вершине пирамиды TI (выше IOC, ТТР и кампаний), на стратегическом уровне
$
Атрибут - свойство, характеристика. Атрибуция - привязывание атрибутов к конкретным явлениям. Можно установить по атрибуту явление, можно по явлению получить атрибуты. И так по кругу.
Есть событие - есть свойство - находим явление - получаем доп свойства и т.д.
Есть событие - есть свойство - находим явление - получаем доп свойства и т.д.
$
Явление в данном случае threat actor
AL
Да-да, я понял. Сигнатуры атак, правила МСЭ и SIEM, ACL, шаблоны UEBA - это все результат атрибуции.
ДЮ
Атрибут - свойство, характеристика. Атрибуция - привязывание атрибутов к конкретным явлениям. Можно установить по атрибуту явление, можно по явлению получить атрибуты. И так по кругу.
Есть событие - есть свойство - находим явление - получаем доп свойства и т.д.
Есть событие - есть свойство - находим явление - получаем доп свойства и т.д.
вам уже два раза озвучили принятое в комьюнити определение)
ДЮ
Устаревший?
$
А зачем? Тут есть «принятое» :)
AL
Ну да. Только в психологии это определение слишком генерализированное. В праве или журналистике оно вполне конкретное и связано только с источником чего-либо.