Они еще предлагают TAXII - но поднять у себя под это дело сервак для нее...
Если только не обрабатывать таким образом сразу несколько вендоров

Да, много громоздить не хочется

Либо перекрутить их скрипт. Глянуть что не отрабатывает

MISP быстро дохнет при загрузке индикаторов. В основном из-за процессов мерджа каждого индикатора.
Сейчас из OTX Alien можно получать 13К уникальных IP, 11К доменов и 500-1К URL.
Это достаточно чтобы MISP ушел в себя на 30 мин -1 час.
По крайней мере мы получали такие цифры при интеграции нашего фида.

Такое есть, к сожалению

можно отключить мердж, но тогда за уникальностью IOC придется следить самому, снаружи

Это наблюдается так же при обновлении всех фидов. Мы пытаемся таким по ночам заниматься

Если вам надо собрать норм. базу с IOC в MISP по открытым источникам, то надо быть готовыми к загрузке 150-200К IP, 90-100К доменов и 20-30К url в сутки.

MISP такое не тянет (((

Интересно, что будет, если загрузить 200k IP адресов в вмндовый файрволл

Думаю, после этого винда отправит автоматом запрос в Максофот с просьбой добавить в черный список ключ активации текущего компа.

Спасибо.

Добрый день! Коллеги, помогите. Включаю на DC DNS debag, указываю папку. Логи пишутся какое то время, и потом запись прекращается. Данные файлы закинул в шару и потом забираю в SIEM. Права уз для парсинга только на чтение. Кто с такой проблемой сталкивался? Как я понимаю данный файл логов должен записываться ротацией.

Так там вроде была опция ротации

Сейчас уже нашел. Опция Details если стоит, то ротация не включается. Пока проверить не могу.

лучше использовать аналитические журналы DNS вместо журнала откладки
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn800669(v=ws.11)

Чем читаете файл? Скорее всего при ротации обрывается чтение

Нет. Файл читается без проблем. Папку указываем сразу же сетевую. Возможно, не хватает прав на удаление файла. Я так понимаю, что система не перезаписывает файл, а удаляет его и создает новый. Думаю, все же смотреть в сторону чтения аналитических журналов.

MaxPatrol VM: обзор нового решения

25 марта Positive Technologies продемонстрирует новый продукт ―  MaxPatrol VM. Вы увидите, как MaxPatrol VM помогает специалистам по ИБ решать главную задачу: защитить компанию так, чтобы злоумышленникам стало сложно и невыгодно ее ломать.

Эксперты Positive Technologies расскажут:
•  как с помощью системы оперативно выявить важные IT-активы, правильно приоритизировать уязвимости и контролировать их устранение,
•  как работать с трендовыми уязвимостями,
•  чем новое решение отличается от других средств анализа защищенности.

Зарегистрироваться на вебинар