В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

SOС Технологии

1493 membersпожаловаться на группу
2021 April 30

NA

Nikolai Arefiev in SOС Технологии
ого, а у них уже приличный список ВПО, так скоро и на malpedia ходить не надо будет.
источник
13:49пожаловаться#1

AL

Alexey Lukatsky in SOС Технологии
Его описание, правда, не всегда бьется с разными отчетами по TTP от разных вендоров. Но как точка отсчета вполне себе подходящий источник
источник
15:03пожаловаться#2
2021 May 02

AN

Alex Nich in SOС Технологии
👍
источник
13:42пожаловаться#3

AN

Alex Nich in SOС Технологии
https://www.cybereason.com/blog/portdoor-new-chinese-apt-backdoor-attack-targets-russian-defense-sector
Cybereason
PortDoor: New Chinese APT Backdoor Attack Targets Russian Defense Sector
In a highly targeted operation by a Chinese APT, a newly discovered backdoor dubbed PortDoor is being used in attacks targeting a Russian defense contractor...
источник
14:21пожаловаться#4
2021 May 03

nastya князева... in SOС Технологии
Всем привет
источник
12:24пожаловаться#5
2021 May 05

NA

Nikolai Arefiev in SOС Технологии
Всем привет.
Поделитесь опытом, плиз.
- Есть фид с hash.
- Там для каждого файла есть md5, sha1, sha256.

Как вы в таком случаете загружаете фид в SIEM?
1. Одна таблица/active list с 3 колонками и потом в правиле корр ищите по нужной колонке
2. Одна таблица/active list с 1 колонкой под hash и колонкой в которой вписан тип хэша (col1:<hash>, col2:md5)
3. Отдельная таблица под каждый тип hash
источник
19:07пожаловаться#6

NA

Nikolai Arefiev in SOС Технологии
У меня есть ответ на этот вопрос с точки зрения производительности для разных SIEM, но вот как делают чаще всего - хотелось бы узнать.
источник
19:10пожаловаться#7

SR

Sergey Rublev in SOС Технологии
А где варианты ответа с несколькими таблицами? )
источник
19:10пожаловаться#8

NA

Nikolai Arefiev in SOС Технологии
да, это тоже вариант, добавил, пасиб.
источник
19:11пожаловаться#9

МЖ

Максим Жевнерев... in SOС Технологии
одна таблица вообще на все. тип + значение. Но это ты и так знаешь :)
источник
19:23пожаловаться#10

V

Vahan in SOС Технологии
3. Но только нужно хранить разные типы хешей в разных field/property
источник
19:25пожаловаться#11

NA

Nikolai Arefiev in SOС Технологии
:)
источник
19:27пожаловаться#12

NA

Nikolai Arefiev in SOС Технологии
А разве это не вариант 1?
В этом варианте под каждый тип хеша своя колонка
источник
19:27пожаловаться#13

V

Vahan in SOС Технологии
В siem в котором я работаю это 2 разных сценария, с разным performance impact
источник
19:28пожаловаться#14

МЖ

Максим Жевнерев... in SOС Технологии
но вообще, если бы не mssp-схема... я бы наверное вообще перенес все это на уровень сбора событий.
источник
19:46пожаловаться#15

NA

Nikolai Arefiev in SOС Технологии
Скорее на уровень обогащения, после сбора и нормализации.
источник
19:48пожаловаться#16

AL

Alexey Lukatsky in SOС Технологии
4. Использовать только один вариант хэша и подбирать все средства обнаружения, поддерживающие только его ;-)
источник
20:22пожаловаться#17

NA

Nikolai Arefiev in SOС Технологии
А всех, кто не генерит этот тип хэша, под санкции
источник
20:24пожаловаться#18

AL

Alexey Lukatsky in SOС Технологии
Ну скоро в России заставят всех хеши считать только по ГОСТу и вопрос вообще отпадет сам собой
источник
20:24пожаловаться#19

P

Pavel in SOС Технологии
Зато какое поле для импортозамещения! Опять же нужны будут НИРы по пересчету из их неверных, в правильные по ГОСТу
источник
20:26пожаловаться#20