NA
Я скажу так, Threat Intelligence для SOC не нужна
Как и 1 линия?
Size: a a a
2020 November 14
VK
Это удел продажников
$
А тут сегодня прям уютно
VK
Для SOC нужна ACTIONABLE Threat Intelligence
JS
В чем смысл аналитики по вредоносам? Сегодня используют уязвимость X, завтра Y - это условный рандом.
Принципиально - это разные вещи. А вот аналитика по ip и asn и провайдерам. Эта как проводить аналитику с картинками на подобии:
1. В первом полугодии на билайне с левых симки чаще обманывают клиентов сбера.
2. За аналогичный период с левых номеров мтс чаще обманывают клиентов альфы.
Вот количество симок у того оператора или другого. Вот эти номера.
1. В первом полугодии на билайне с левых симки чаще обманывают клиентов сбера.
2. За аналогичный период с левых номеров мтс чаще обманывают клиентов альфы.
Вот количество симок у того оператора или другого. Вот эти номера.
NA
на поисках закономерностей в куче на вид бессвязных данных целый Data Science зиждется
NA
я к тому, что воспринимать срез по вредоносным ASN как руководство к блокировке - не очень хорошее действие, но как доп контекст при расследовании - почему бы и нет
JS
на поисках закономерностей в куче на вид бессвязных данных целый Data Science зиждется
Опять же нет. Если у вас полный набор признаков(не только Ip и asn) - то можно сову на глобус натянуть...А так...я уважаю любой труд. Но здесь, я просто его не понимаю.
VK
Процитирую другого спикера phdays думаю 2015 года цитата "threat intelligence without context is just a data"
VK
На фиды надо смотреть как на помойку в австрии
NA
что есть контекст фида? тут и кроется ответ
VK
Там не один бак, а свои для белых бутылок, зеленых бутылок, коричневых бутылок,, алюминиевых банок, био, бумага и остальное
VK
Так вот "на поисках закономерностей в куче на вид бессвязных данных целый Data Science зиждется" это все и делают чтобы понять или обогатить контекст и сделать actionable
JS
что есть контекст фида? тут и кроется ответ
Его привязка к событию со своими атрибутами. Которой в простом сборе накоплении и визуализации сторонних фидов - ну где?
NA
а у вас бывали случаи, что вы ходили пробивать IP по тому где он зареган, или какие порты открыты, какие сревисы работают и т.д.?
NA
или по тому как давно зареган домен?
JS
Повторюсь, это как собирать телефоны мошенников без их образцов голоса, карт и счетов куда ушли деньги...условно
VK
Это называется обогащение данных
VK
а у вас бывали случаи, что вы ходили пробивать IP по тому где он зареган, или какие порты открыты, какие сревисы работают и т.д.?
Это
NA
эта информация контекст или еще нет?