NA
и не факт что платные ответят
Size: a a a
2020 October 24
v
Да никто не отвечает. Я сразу понимал о чем спрашиваю
$
Да никто не отвечает. Я сразу понимал о чем спрашиваю
Тролль
$
Способ ответить есть, правда будет дорого
NA
Для любителей коробок и распределений. Тут плохо видно, но медиана для ip = 3 дня, для url = 1 день
v
И 48 для доменов!
BB
По доменам в свое время в финцерте считали, что 90 дней живет домен. В жизни меньше обычно
BB
Для любителей коробок и распределений. Тут плохо видно, но медиана для ip = 3 дня, для url = 1 день
Url я бы разносил. Для изначальной загрузки малвари - да, время жизни урла исчисляется часами. Для С2С - все же они дольше живут
NA
Url я бы разносил. Для изначальной загрузки малвари - да, время жизни урла исчисляется часами. Для С2С - все же они дольше живут
В большинстве фришных фидов вы не узнаете что есть c2, а что есть url загрузки пейлоада :)
BB
В большинстве фришных фидов вы не узнаете что есть c2, а что есть url загрузки пейлоада :)
Мы поэтому и старались указывать )
BB
А так да, согласен
SS
В большинстве фришных фидов вы не узнаете что есть c2, а что есть url загрузки пейлоада :)
А разве сильно много таких случаев, когда получатель фидов к адресам/доменам/url с2 и загрузки пейлоада относится по-разному? ИМХО всегда сразу блокировка еще на пограничных устройствах без вникания что есть что.
SS
И вот только если в логах адрес/url светанулся, то может будет какой то анализ
NA
Из того что я наблюдаю, почти никогда не задумывается. Даже на категорию не смотрит. И только при расследовании какого-то инцидента вспоминают, что у индикатора есть контекст.
BB
А разве сильно много таких случаев, когда получатель фидов к адресам/доменам/url с2 и загрузки пейлоада относится по-разному? ИМХО всегда сразу блокировка еще на пограничных устройствах без вникания что есть что.
Я лично вникаю, чтобы хотя бы понять, куда его отправлять и критичность сработки.
Например, если url загрузчика порезалась - то это как бы не показатель затевать полномасштабное разбирательство. Особенно если этот url вычистился на антиспаме
А если url или ip c2c откуда-то вылез - то тут уже копаться надо
Например, если url загрузчика порезалась - то это как бы не показатель затевать полномасштабное разбирательство. Особенно если этот url вычистился на антиспаме
А если url или ip c2c откуда-то вылез - то тут уже копаться надо
NA
Я лично вникаю, чтобы хотя бы понять, куда его отправлять и критичность сработки.
Например, если url загрузчика порезалась - то это как бы не показатель затевать полномасштабное разбирательство. Особенно если этот url вычистился на антиспаме
А если url или ip c2c откуда-то вылез - то тут уже копаться надо
Например, если url загрузчика порезалась - то это как бы не показатель затевать полномасштабное разбирательство. Особенно если этот url вычистился на антиспаме
А если url или ip c2c откуда-то вылез - то тут уже копаться надо
Жаль, что таких как вы ооочень мало :(
NA
У многих тупо нет ресурса/опыта чтобы сделать простейшую аналитику при имплементации фида.
SS
Я лично вникаю, чтобы хотя бы понять, куда его отправлять и критичность сработки.
Например, если url загрузчика порезалась - то это как бы не показатель затевать полномасштабное разбирательство. Особенно если этот url вычистился на антиспаме
А если url или ip c2c откуда-то вылез - то тут уже копаться надо
Например, если url загрузчика порезалась - то это как бы не показатель затевать полномасштабное разбирательство. Особенно если этот url вычистился на антиспаме
А если url или ip c2c откуда-то вылез - то тут уже копаться надо
Тут еще вопрос наличия возможности вникать. При автоматизации процессов, - что сейчас наблюдается в крупных корпоративных SOC, - фиды разбираются парсерами TI или IRP и сетевые иоки из них сразу перекочовывают на блокировку с минимальным участием оператора. И учета контекста при этом не происходит, точнее и быть не может. Источников фидов много, -иногда больше десятка, - а стандарта описания контекста нет. Короче мы все друг друга поняли, а за ручной разбор индикаторов конечно уважуха!
🤝🤝🤝
🤝🤝🤝
BB
Так чтоб парсер работал, нужно изначально фид описать нормально, стандартизировано, и вернулись к тому, что во фришных это далеко не всегда реализовано. Да и в платных тоже
$
Тут еще вопрос наличия возможности вникать. При автоматизации процессов, - что сейчас наблюдается в крупных корпоративных SOC, - фиды разбираются парсерами TI или IRP и сетевые иоки из них сразу перекочовывают на блокировку с минимальным участием оператора. И учета контекста при этом не происходит, точнее и быть не может. Источников фидов много, -иногда больше десятка, - а стандарта описания контекста нет. Короче мы все друг друга поняли, а за ручной разбор индикаторов конечно уважуха!
🤝🤝🤝
🤝🤝🤝
Давайте не путать голову и хвост.
Кочуют они без контекста потому что контекста в большинстве фидов нет.
Даже в стиксе нормальный контекст появился только тогда когда они графовое приближение ввели. А это 2.1 только
Кочуют они без контекста потому что контекста в большинстве фидов нет.
Даже в стиксе нормальный контекст появился только тогда когда они графовое приближение ввели. А это 2.1 только