-
GAMEPOD.hu
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
inf3rno
Topikgazda
No a korrelációval kapcsolatban végre eljutottam odáig, hogy igen, alkalmas szekvenciális szabályszerűségek automatikus felderítésére a rendelkezésre álló adatból, és lehet szekvenciális szabályokat is megadni neki a felismeréshez akár kézzel is. Szóval valóban a korreláció, ami erre való. Nem a legszerencsésebb kifejezés, de végülis érthető, hogy miért ezt választották. Közben találtam jó cikkeket is, bár a hajamat tépem, hogy miért nem két hónapja dobta ki a kereső, mert akkor lenne időm rendesen végigolvasni. Így is nagy segítség egyébként. A lényeg, hogy van egy korrelációs motor az ilyen tanulós eszközökben (tipikusan IDS, de gondolom SIEM-nél is és talán EDR-ben is lehet), ami a logokból is folyamatosan bányássza a támadások mintáit (esetleg a normál viselkedés mintáit is), hogy up to date maradjon a rendszer. Valószínűleg az emberek is értékelik és korrigálják ennek a munkáját. Na ebben az engine-ben lehet egy csomó különböző féle algoritmus, amik között ott vannak a kedvenc sequential pattern mining algoritmusaim is, szóval ezt is használják a machine learning technikák mellett under the hood, csak az egészet ezzel a korrelációs micsodával fedik le, és a szakma nagy részének fogalma sincs, hogy egy ilyen rendszernél milyen algoritmusok működnek a motorháztető alatt. Kérdés már csak annyi lenne, hogy a meglévő termékeknél is használják e, nem csak cikkekben publikálnak róla, de a termékek nagy része zárt forrású és gondolom szigorú titok, hogy mit használnak. Igazából már azzal is jóval előrébb vagyok, hogy meg tudom írni, hogy már régóta támogatott sok termékben a kézi megadása a dolgoknak, tehát egy EIV vagy egy SOC analyst találkozhat vele a mindennapokban, magukat az algoritmusokat pedig inkább olyan szakértők használják közvetlenül, akik kártevők viselkedését elemzik, vagy APT logjait nézegetik utólag forenzikus vizsgálattal, vagy ilyesmik. Van még néhány határterület, pl a log normalizáció, ahol hasznos lehet, illetve ha valami telefossa a logokat figyelem elterelésnek, pl egy DDOS, akkor könnyen kiszűrhetőek belőlük a minket nem érdeklő minták. Azt hiszem ledőlök pár órára, mielőtt folytatom a szakdolgozatot.
Ja izé a lényeg majdnem lemaradt, Elasticban lehet direktbe megadni szekvenciát is, azt mondják tök jó: [link] Vagy akár meg lehet nézni Iván videoját is a témában: [link]
[ Szerkesztve ]
Buliban hasznos! =]
inf3rno