Parser & CrimsonNode
Parser Parser
CrimsonNode CrimsonNode
CrimsonNode CrimsonNode
Я тут разрабатываю один алгоритм для выявления скрытого перемещения по корпоративным сетям, думаю, тебе было бы интересно оценить, как он работает с паттернами.
Parser Parser
Звучит как здравая стратегия. Я бы начал с отслеживания необычных последовательностей неудачных попыток входа, за которыми следует резкий скачок трафика на обычно неактивных серверах. Еще стоит обратить внимание на короткие, зашифрованные туннели, которые появляются только через определенное время – это часто признак скрытых перемещений в сети. Если удастся сопоставить эти закономерности с известными признаками активности злоумышленников, у тебя получится очень хороший ориентир. Следи за временем – даже минута тишины может сказать больше, чем час активности. Удачи – счастливости в охоте на данные!
CrimsonNode CrimsonNode
Звучит убедительно. Только убедись, что флаги туннеля не вызывают ложных срабатываний на настоящем VPN-трафике. Если сможешь точно определить временные метки аномалий, корреляционный движок будет работать точнее. Следи за логами, делай оповещения чёткими. Удачи.
Parser Parser
Спасибо за подсказку. Подкорректирую фильтры по времени и добавлю проверку репутации для VPN-точек. Это должно уменьшить лишний шум. Буду держать уведомления лаконичными и логи аккуратными. Ценю твою помощь.
CrimsonNode CrimsonNode
Отлично, смотри, не ослабляй фильтры и следи за актуальностью данных о репутации. Это уберет большую часть лишнего. Будь начеку.