Layer 7 flow (Bro) datası ile C&C tespiti (APT1 feed'ler ile), SQL injection, port scan vb. basit korelasyonlar yazdım Security Onion ve Splunk kullanarak fakat geleneksel flow (netflow) ile anomaly detection (normalden fazla trafiğin üretilmesi, trafik için baseline belirleyip baseline harici sıradışı trafik (malware outbreak) oluşması vb.) hariç pek mantıklı korelasyon görmedim ben de. Genelde log bazlı korelasyonları feed ederek alarmın doğruluğunu arttırmak amacıyla kullanılıyor benim gördüğüm kadarıyla.
28 Tem 2016 Per, 14:17 tarihinde, Uzeyir Gafarli <[email protected]> şunu yazdı: > Detaylı bir çalışma yapmış olan knowhow paylaşabilirse ben de çok memnun > olacağım. > > 2016-07-26 13:57 GMT+03:00 Ahmet Han <[email protected]>: > >> Merhaba, >> >> Netflow datası ile daha önce SIEM araçları üzerinde korelasyon kuralı >> geliştiren oldu mu? >> İnternette APT ve botnet tespiti ile ilgili bazı örneklere rastladım. >> Ancak kendi canlı sistemleriniz üzerinde >> daha önce buna yönelik çalışma yapıp, etkili bir şekilde tespit >> yapabilen, kullanabilen var mı? Onu merak ediyorum? Ya da farklı >> kaynaklarla korelasyona tabi tutmak için neler yapılabilir? >> >> Teşekkür ederim. >> Ahmet Han >> >> ------------------- >> NORMSHIELD’DEN SİBER TEHDİTLERE YÖNELİK ÜCRETSİZ İSTİHBARAT PAYLAŞIM >> HİZMETİ >> >> http://blog.normshield.com/2016/06/free-intelligence-service.html >> ------------------- >> > > ------------------- > NORMSHIELD’DEN SİBER TEHDİTLERE YÖNELİK ÜCRETSİZ İSTİHBARAT PAYLAŞIM > HİZMETİ > > http://blog.normshield.com/2016/06/free-intelligence-service.html > -------------------
------------------- NORMSHIELD’DEN SİBER TEHDİTLERE YÖNELİK ÜCRETSİZ İSTİHBARAT PAYLAŞIM HİZMETİ http://blog.normshield.com/2016/06/free-intelligence-service.html -------------------
