EO
Вот ещё (не один) безопасник, который желает тикеты выдавать, вместо того чтобы по существу реагировать на инцидент.
Size: a a a
2019 July 23
EO
От нас все пули вылетели!
A
siamion
Мне он не очень понравился, например тем что на аутпут он данные типизировать не умеет, соответственно в siem его не очень удобно загонять
MISP и OpenIOC два наиболее популярных формата обмена иоками . A SIEM кормить с использованием STIX...ну смотря какой сием и какой у вендора видение Taxii
$
siamion
Просто "хайп" вокруг misp какой-то. По факту альтернатив нет?
Альтернатив полно. Все одинаково сырые. Почему мисп? Да потому что он древний и довольно известный. Доков/внедрений и тд - полно.
Я етти на днях крутил. Тоже то ещё поделие.
Я етти на днях крутил. Тоже то ещё поделие.
IH
А чего кому в миспе не хватает? Просто интересно. Про типизацию не понял
$
А чего кому в миспе не хватает? Просто интересно. Про типизацию не понял
Основная проблема в работе под нагрузкой. Не держит он ее
$
И не хватает в каком свете? IOCо хранилки?
$
И плюсом стикс2 в миспа через одно место реализован
IH
Работа под нагрузкой что имеется в виду -- переваривание потока фидов или запросов на поиск токов? По второму варианту оно практически не работает, из него в кеши и сзи выгружать надо
IH
А не хватает -- мне было интересно, есть ли какой функционал, отсутствующий в миспе, но присутствующий в каком-то другом типе, который жизненно необходим
IH
Плюс прозвучала фраза, что функционал мисп урезан
$
Работа под нагрузкой что имеется в виду -- переваривание потока фидов или запросов на поиск токов? По второму варианту оно практически не работает, из него в кеши и сзи выгружать надо
По второму варианту - а зачем оно тогда вообще? Можно сразу в сзи выгружать.
$
А не хватает -- мне было интересно, есть ли какой функционал, отсутствующий в миспе, но присутствующий в каком-то другом типе, который жизненно необходим
Тут у всех свои цвета фломастеров. Мне не хватало стабильности и функционала api (он довольно скудный). И много всяких мелочей, но мисп почти все по-разному используют, тут сложно обобщить
IH
По второму варианту - а зачем оно тогда вообще? Можно сразу в сзи выгружать.
Это же шаринг, там голосовал есть, галки выгружать-невыгружать. Короче видимо все таки фломастеры многое объясняют )))
$
Это же шаринг, там голосовал есть, галки выгружать-невыгружать. Короче видимо все таки фломастеры многое объясняют )))
Ну смотри. Шаринг это хорошо. Но. Ты выделил два варианта - переваривание потока фидов и поиск иоков.
В переваривание потока фидов входит поиск иоков, для которого, по твоему мнению, мисп не очень.
По поводу шаринга - не буду рассуждать на тему передачи, подумаем на тему получения и выгрузкам в сзи - не кажется ли это немного неэффективным использованием ресурсов? Взять фид, выдрать оттуда иоки и передать в сзи - это около 20 строк кода на питоне.
В итоге получаем историю о том, что без поиска иоков (на этом завязаны такие процессы как поиск дублей, обогащение и другие) мисп нафиг не упёрся. А ищет он крайне плохо.
В переваривание потока фидов входит поиск иоков, для которого, по твоему мнению, мисп не очень.
По поводу шаринга - не буду рассуждать на тему передачи, подумаем на тему получения и выгрузкам в сзи - не кажется ли это немного неэффективным использованием ресурсов? Взять фид, выдрать оттуда иоки и передать в сзи - это около 20 строк кода на питоне.
В итоге получаем историю о том, что без поиска иоков (на этом завязаны такие процессы как поиск дублей, обогащение и другие) мисп нафиг не упёрся. А ищет он крайне плохо.
$
Это так, на ходу написано, улглубляться и разворачивать историю не хочу, тут ССЗБ со своими фломастерами.
IH
Ну смотри. Шаринг это хорошо. Но. Ты выделил два варианта - переваривание потока фидов и поиск иоков.
В переваривание потока фидов входит поиск иоков, для которого, по твоему мнению, мисп не очень.
По поводу шаринга - не буду рассуждать на тему передачи, подумаем на тему получения и выгрузкам в сзи - не кажется ли это немного неэффективным использованием ресурсов? Взять фид, выдрать оттуда иоки и передать в сзи - это около 20 строк кода на питоне.
В итоге получаем историю о том, что без поиска иоков (на этом завязаны такие процессы как поиск дублей, обогащение и другие) мисп нафиг не упёрся. А ищет он крайне плохо.
В переваривание потока фидов входит поиск иоков, для которого, по твоему мнению, мисп не очень.
По поводу шаринга - не буду рассуждать на тему передачи, подумаем на тему получения и выгрузкам в сзи - не кажется ли это немного неэффективным использованием ресурсов? Взять фид, выдрать оттуда иоки и передать в сзи - это около 20 строк кода на питоне.
В итоге получаем историю о том, что без поиска иоков (на этом завязаны такие процессы как поиск дублей, обогащение и другие) мисп нафиг не упёрся. А ищет он крайне плохо.
Ок, посыл понятен. Пример другого решения, которое ищет быстрее есть?
$
Ок, посыл понятен. Пример другого решения, которое ищет быстрее есть?
Пока нет, ищу
$
Етти не устроил - очь плохо (почти никак) не умеет в импорт файлов. Api ещё скуднее
$
Но проект молодой (относительно) может стрельнет