HT
Sergey Soldatov
Не совсем так, подкину тебе книжек. Но мне приятно ;)
Пологаю я знаю о какой книжке идёт речь, когда-то сам тебе рекомендовал её почитать )
Size: a a a
2020 November 18
V
Пологаю я знаю о какой книжке идёт речь, когда-то сам тебе рекомендовал её почитать )
Что за книжечка?)
Z
Пологаю я знаю о какой книжке идёт речь, когда-то сам тебе рекомендовал её почитать )
что за книга?))
$
Так, это все конечно интересно читать, но Сергей и Теймур, я бы рекомендовал личные сообщения для дружеского ироничного общения ;)
HT
Что за книжечка?)
Полагаю, что Intelligence-Driven Incident Response
V
Полагаю, что Intelligence-Driven Incident Response
А, ну она про другой вид ТН, тот, который используется при респонсе. Мы вроде о мониторинге говорили.
HT
Так, это все конечно интересно читать, но Сергей и Теймур, я бы рекомендовал личные сообщения для дружеского ироничного общения ;)
больше не будем 🙂
VK
Тоже спорное утверждение, Сергей. Если я пишу хант на известную процедуру из матрицы MITRE - это поиск известного (т.к. процедура известна) и по вашей логике получается, это уже не хант и не ТН. Если мы говорим, что ТН это только поиск неизвестного, то получается, что ТН - это только поиск аномалий и всё (т.к. ранее неизвестное мы можем найти только через поиск аномалий). Насчет термина “Ioc hunting” - не слышал, чтобы его где-то использовали.
Тогда гуглите patient zero threat hunting
VK
А, ну она про другой вид ТН, тот, который используется при респонсе. Мы вроде о мониторинге говорили.
Ребят, чётко по кругу только в учебниках хотят
VK
Вот вы делаете респонз по инциденту майнера. На хосте заодно нашли apt который не связан с майнером. Вы его нахантили или нареспонзили?
RI
Вот вы делаете респонз по инциденту майнера. На хосте заодно нашли apt который не связан с майнером. Вы его нахантили или нареспонзили?
Вы его пропустили, для начала.
RI
TH - это процесс, связанный с выдвижением гипотез и их проверкой. Соответственно, правы все.
RI
Респонз - это вообще не из области TH.
RI
Для понимания процесса TH - давайте возьмём дом. Вот любые мысли по поводу того, как в него залезть (иногда подтверждённые экспериментом) и как это обнаружить - это TH. А респонз, это когда вы завалили на участке из ружья ворону, нарушившую случайно периметр.
Z
Ruslan Ivanov
Для понимания процесса TH - давайте возьмём дом. Вот любые мысли по поводу того, как в него залезть (иногда подтверждённые экспериментом) и как это обнаружить - это TH. А респонз, это когда вы завалили на участке из ружья ворону, нарушившую случайно периметр.
😂👍
RA
Ruslan Ivanov
Для понимания процесса TH - давайте возьмём дом. Вот любые мысли по поводу того, как в него залезть (иногда подтверждённые экспериментом) и как это обнаружить - это TH. А респонз, это когда вы завалили на участке из ружья ворону, нарушившую случайно периметр.
вот да =)
VK
Ruslan Ivanov
Вы его пропустили, для начала.
Радостно! Но как вы будете хантить то, что вы не пропустили? То, что еще не началось?
SS
Да, TH - это после взлома, когда есть на чем гипотезу проверять. Об этом тоже писал
http://reply-to-all.blogspot.com/2017/08/blog-post_19.html
http://reply-to-all.blogspot.com/2017/08/blog-post_19.html
I
Тестовую среду запустить)
RI
Радостно! Но как вы будете хантить то, что вы не пропустили? То, что еще не началось?
@alukatsk для этого использовал очень наглядный пример на базе концепции окна Джохари (не путать с Овертоном). Есть четыре зоны
- открытая (известно атакующим/защитникам)
- слепая (известно атакующим/ не известно защитникам)
- скрытая (не известно атакующим/известно защитникам)
- неизвестная (не известно атакующим/защитникам)
- открытая (известно атакующим/защитникам)
- слепая (известно атакующим/ не известно защитникам)
- скрытая (не известно атакующим/известно защитникам)
- неизвестная (не известно атакующим/защитникам)