I
Есть Arcsight, есть MISP, есть коннектор для MISP, но загружать все фиды из MISP в Arcsight выходит накладно
Size: a a a
2021 May 13
I
Как лучше делать? У Касперского есть продукт CyberTrace, который грузит фиды в себя коррелирует на потоке. Но он входит в состав платного сервиса Kaspersky TI
I
Есть еще бесплатная Paloalto MineMeld, но она, как и MISP, может только выгружать в Arcsight в CEF, а не коррелировать
RK
Архиправильный вопрос! Ссылка на доклад в расписание: https://www.phdays.com/ru/program/reports/misp-general-usage-training-for-analysts-and-administrator/
RK
Ближе к делу там выложат инфу где смотреть стрим 😉 Сюда продублируем.
I
Это, видимо, ответ на первый мой вопрос, а не на второй)
RK
Именно! Пхд близко - разбираться некогда!))
v
У меня есть спец софт для логов с днс виндовых. Хранит, сверяет с текущими фидами, пробивает по истории. Фри и по ресурсам немного. Но нужно быть готовым пострадать если не взлетит с первого раза.
I
Это только для имён доменов и ip?
I
А для хешей как?
$
RSTcloud для всего)
@nikolaiav
@nikolaiav
v
Я не видел и до сих пор не вижу большого смысла в системной работе с файловыми иоками. Причин много, но оснавая в том что антивири в основном не отдают хеши всех проверенных файлов в сок. И в целом это их задача (вы вендоров)
v
Речь как я понял про проверку на потоке
v
А рстклауд это аггергатор фидов (хороший!)
$
Ну решений как минимум - 3
Одно из них - правильные фиды ;)
Одно из них - правильные фиды ;)
I
А что за спец софт? Самописный или коммерческий?
v
В лучших традициях стартапа. Тотал фри вместе с багами. Но командой разработки
NA
Софт норм. По крайней мере стоит его попробовать развернуть и поэксплуатировать.
NA
Из фришного в таком классе не так много решений
NA
Короче надо брать, пока Вова не сделал решение платным.