News & Navigator
What: #rss_news
Where: #feedly
Who: Qwerty Bubble
When: every_day :)
How: .opml файл
Итак, два месяца спустя возвращаемся из небытия, из отпуска, из поездок, из обучения обратно писать о чём-то практико-ориентированном
На этой неделе обратил внимание, что любимый RSS-агрегатор Feedly в своей Enterprise версии (рассказывал, как обходить ограничения по триал периоду), добавил возможность выгружать TTPs, которые алгоритм спарсил из новостной ленты. Можно устанавливать временной интервал и далее мониторить изменилось что-то или нет. В целом, ошибок в процедурах не очень много и, если вдруг есть техническое описание с command line, то Feedly это покажет, но зачастую там всё таки общие слова, мол, Adversaries can use malicious browser extensions to steal cookies and other user information. Same as ATT&CK.
❓ Оно вообще зачем и для чего
❗️Попробуйте зафильтровать нерелевантных вам акторов и вот у вас готовая тепловая карта, которая покажет с каким приоритетами надо браться за изучение и покрытие детектирующей логикой техник атакующих. Да, это будет без детальной конкретики по процедурам (придётся изучать, что называется, в глубину) и основной массив — это новостной фон, но зато быстро и дешёво. А если вы ещё качество хотите, то это утопия какая-то 🤪
❓Почему на это стоит обратить внимание
❗️Задачей парсинга аналитических отчётов занимаются многие исследовали в мире (Николай, привет 🙋♂️) и есть отличная возможность использовать то, что рынок предлагает сейчас. Например, вот здесь 21 марта была опубликована последняя редакция работы по этой теме. Да и в целом есть понимание, что вручную обработать >4к выходящих в год TI-отчётов просто невозможно. Так что я надеюсь на лучшее и что со временем алгоритмы по парсингу будут доступны всем простым смертным 🕺 Да, и ещё ждём конца года, авось MITRE выпустит обновлённую версию платформы TRAM, где будет всё красиво.
Нескучного мониторинга! 🆘
Со средой 🍸