Но вырос в сием он из лог менеджера

Да, на 100% т.к. проводил аналитику всей нормализации, что есть в MP, а это более 4000 правил.

Окей

Бинарные форматы/snmp/json/плоские логи/многострочность/замес hex и ascii в логе и еще куча особенностей

Нюансов масса, на тот же logstash гляньте, там не просто так миллионы ручек

Вопрос парсера, а вот с бинарными логами сапа да...засада

Крис Сандерс оч крутой дядька

Его investigation theory и practical threat hunting у нас базовые обязательные курсы для всех в security operations

блогпост зачётный. Хайп вокруг MITRE ATT&CK это вещь позитивная, но мало кто понимает методологию которая за ней стоит, но это в целом не новость. Хотя конечно говорить об этом важно и нужно, ибо это не новость далеко не для всех

Этот "вопрос парсера" иногда тоже вполне себе засада

Товарищи, а никто nextron spark/thor не гонял?

Мб есть опыт, отзывы, критика

там проприетарный формат что ли?

У сапа все проприетарное

Даже алгоритмы шифрования, субд, java

Недавно запускал SPARK Core на Windows.
В целом, достаточно интересная штука. Можно загружать свои YARA. А вот STIX, к сожалению, только в платной версии.
Что пока выявил, так это очень много фолзов.
Например куча алертов "Malicious keywords: keylogger.avz" в директории касперского.

Во время полного сканирования отъедал на хостах в районе 20% CPU и ~3 Gb RAM. Скан, в среднем, занял час.

Умеет отдавать результаты по syslog, что удобно

Что не так с логами? Как минимум есть power connect

Спасибо.

Например?

Вот вы все про сап, а как вам такой случай из практики. В одном отечественном решение логи хранятся в базе и как бы все норм (часть инфы разложена по колоночкам). Вот только доп. инфу ребята решили просто записать в бинарном виде в blob. Как тебе такое Илон Маск?