$
Ну и кучу всего пилить руками
Size: a a a
2019 July 22
KM
ИРП она становится с кортексом. И то... так себе
а cortex у нас выступает как анализатор, да? самостоятельно чекает IOC, которые прилетают из тикета TheHive на virustotal, например
$
а cortex у нас выступает как анализатор, да? самостоятельно чекает IOC, которые прилетают из тикета TheHive на virustotal, например
Упростив - да
KM
спасибо)
IG
Если возникает событие в MISP -> в TheHive создаётся инцидент, который можно назначить на ответственного
может оказаться удобно использовать алерты
IG
алерт можно импортировать в новый кейс или мерджить в существующий. расследованный кейс с новыми индикаторами из TheHive можно экспортировать в MISP.
2019 July 23
s
А чем всех misp так торкает? Почему не minemeld например?
A
siamion
А чем всех misp так торкает? Почему не minemeld например?
Потому что это продукты под разные задачи
AL
siamion
А чем всех misp так торкает? Почему не minemeld например?
Вот купит кто-нибудь полупальто и прикроет minemeld как класс. Что тогда делать?
A
Minemeld по сути агрегатор фидов
A
Misp - TIP, пусть и урезанная
s
Потому что это продукты под разные задачи
Ну в изначальном запросе цели одинаковые
A
siamion
Ну в изначальном запросе цели одинаковые
Какие?
s
Alexey Lukatsky
Вот купит кто-нибудь полупальто и прикроет minemeld как класс. Что тогда делать?
Перекупят, так же как полупальто в свое время. От того что завтра misp кто нибудь не купит никто не застрахован
s
Какие?
Threat агрегатор?
s
Просто "хайп" вокруг misp какой-то. По факту альтернатив нет?
s
Мне он не очень понравился, например тем что на аутпут он данные типизировать не умеет, соответственно в siem его не очень удобно загонять
s
Minemeld по сути агрегатор фидов
Minemeld умеет в taxii, можно меняться как угодно
AL
siamion
Просто "хайп" вокруг misp какой-то. По факту альтернатив нет?
gosint, crits, mantis, yeti, cif. Это если из open source
AL
Но MISP, пожалуй, наиболее популярный и поэтому поддерживаемый и обновляемый