VK
Присоединяюсь
Size: a a a
2020 November 17
VK
VK
Из старыз слайдов, когда игрались с аномалиями
2020 November 18
FL
@Doggedog
Думаю, что с этим циклом статей всё однозначно (никто по нему не спорил на философские темы :) ). Он неплохо описывает техническую специфику TH - можно сделать поверхностную оценку уровня экспертизы авторов. У ребят есть обучающие курсы, кажется, в том числе и по TH.
ЗЫ
Не реклама (работаю не в Bi.Zone). Просто уважительно отношусь к коллегам по цеху, которые пишут такие отличные статьи. :)
Думаю, что с этим циклом статей всё однозначно (никто по нему не спорил на философские темы :) ). Он неплохо описывает техническую специфику TH - можно сделать поверхностную оценку уровня экспертизы авторов. У ребят есть обучающие курсы, кажется, в том числе и по TH.
ЗЫ
Не реклама (работаю не в Bi.Zone). Просто уважительно отношусь к коллегам по цеху, которые пишут такие отличные статьи. :)
Я не в коем случае не пытаюсь как-то с кем-то спорить в данной области или "зарубаться", если кто-то меня не так понял :) Но предварительно я отработал, на сколько возможно, гуляющий в сети слитый курс по TH (его адекватность пусть оценивают знающие люди - я не возьмусь) и мне это направление показалось интересным и перспективным. Приведенные коллегами статьи, в целом, только утвердили мое мнение в том, что это направление в котором стоит разбираться. Особенно если есть возможность разбираться/обучаться под руководством грамотных специалистов :)
e
Я не в коем случае не пытаюсь как-то с кем-то спорить в данной области или "зарубаться", если кто-то меня не так понял :) Но предварительно я отработал, на сколько возможно, гуляющий в сети слитый курс по TH (его адекватность пусть оценивают знающие люди - я не возьмусь) и мне это направление показалось интересным и перспективным. Приведенные коллегами статьи, в целом, только утвердили мое мнение в том, что это направление в котором стоит разбираться. Особенно если есть возможность разбираться/обучаться под руководством грамотных специалистов :)
Я с вами тоже не спорю. На мой взгляд это лучшие статьи на русском языке за последние N лет. Поэтому их и порекомендовал :)
Так же помню, что был цикл статей от PT ESC (материал чуть попроще), одна из них:
https://habr.com/ru/company/pt/blog/510362/
Так же помню, что был цикл статей от PT ESC (материал чуть попроще), одна из них:
https://habr.com/ru/company/pt/blog/510362/
FL
Я с вами тоже не спорю. На мой взгляд это лучшие статьи на русском языке за последние N лет. Поэтому их и порекомендовал :)
Так же помню, что был цикл статей от PT ESC (материал чуть попроще), одна из них:
https://habr.com/ru/company/pt/blog/510362/
Так же помню, что был цикл статей от PT ESC (материал чуть попроще), одна из них:
https://habr.com/ru/company/pt/blog/510362/
Благодарю :)
SS
И вот хорошая статья про то, что такое TH вообще https://cyberforensicator.com/2020/07/05/threat-hunting-what-it-is-and-what-it-is-not/ (а то есть индивидуумы которые считают что TH это поиск по IOCам)
Раз коснулись IoC-в, какое-то время назад писал про них http://reply-to-all.blogspot.com/2020/09/ioc-hunting-pivoting.html
Может, кому поможет
Может, кому поможет
V
Sergey Soldatov
Раз коснулись IoC-в, какое-то время назад писал про них http://reply-to-all.blogspot.com/2020/09/ioc-hunting-pivoting.html
Может, кому поможет
Может, кому поможет
статья супер
V
Sergey Soldatov
Раз коснулись IoC-в, какое-то время назад писал про них http://reply-to-all.blogspot.com/2020/09/ioc-hunting-pivoting.html
Может, кому поможет
Может, кому поможет
Тоже спорное утверждение, Сергей. Если я пишу хант на известную процедуру из матрицы MITRE - это поиск известного (т.к. процедура известна) и по вашей логике получается, это уже не хант и не ТН. Если мы говорим, что ТН это только поиск неизвестного, то получается, что ТН - это только поиск аномалий и всё (т.к. ранее неизвестное мы можем найти только через поиск аномалий). Насчет термина “Ioc hunting” - не слышал, чтобы его где-то использовали.
SS
Когда вы делаете Хант - это TH, когда вы его сделали и есть Алерт - это уже не ТН.
HT
Тоже спорное утверждение, Сергей. Если я пишу хант на известную процедуру из матрицы MITRE - это поиск известного (т.к. процедура известна) и по вашей логике получается, это уже не хант и не ТН. Если мы говорим, что ТН это только поиск неизвестного, то получается, что ТН - это только поиск аномалий и всё (т.к. ранее неизвестное мы можем найти только через поиск аномалий). Насчет термина “Ioc hunting” - не слышал, чтобы его где-то использовали.
IoC hunting - видимо новый термин, придуманный Сергеем. Если вбить его в гугл, то кроме поста Сергея нигде он особо не упоминается (честно пролистал до 5-ой страницы поисковой выдачи гугла)
V
IoC hunting - видимо новый термин, придуманный Сергеем. Если вбить его в гугл, то кроме поста Сергея нигде он особо не упоминается (честно пролистал до 5-ой страницы поисковой выдачи гугла)
Да, я тоже так подумал
HT
Сергей вы противоречите своему работодателю ;)
V
Sergey Soldatov
Когда вы делаете Хант - это TH, когда вы его сделали и есть Алерт - это уже не ТН.
Это понятно Сергей, но я вам писал не об этом. Я писал о вашем утверждении про поиск неизвестного.
$
А что, так нельзя?
HT
А что, так нельзя?
конечно можно
I
маркетинг и практика часто расходятся.
$
конечно можно
А то напугал. Я уже псж пошёл писать)
SS
IoC hunting - видимо новый термин, придуманный Сергеем. Если вбить его в гугл, то кроме поста Сергея нигде он особо не упоминается (честно пролистал до 5-ой страницы поисковой выдачи гугла)
Не совсем так, подкину тебе книжек. Но мне приятно ;)