Халдлага илр
үү
лэх чадамжын т
ү
вшин (12)
67
1 – Энгийн индикаторууд
•
Хост болон сүлжээний индикаторуудыг бүрдүүлдэг энгийн хэсгүүд
•
Төрөл бүрийн газраас IP эсвэл домэйний лист цуглуулж өөрсдийн
халдлага илрүүлэх технологируугаа нэмж оруулах
•
Цөөхөн тохиолдолд л эдгээр индикаторууд нь халдагчыг илрүүлэхэд үр
дүнтэй.
•
Binary доторх String, scan, deliver, C2 эсвэл exfiltration IP/домэйнээ
солихгүй байх Үлдсэн 99%-д үр ашиггүй.
•
1. Энгийн индикатор > tools/ТТП, энэ их хэмжээний датаг цуглуулах,
анализ хийх болон хадгалахад нөөцийг ихээр шаарддаг, alert/true
ratio маш бага
•
2. Халдагч этгээдэд бараг л нөлөөлж чадахгүй
•
3. Эсрэгээр таны халдлага илрүүлэх технологийн хэвийн ажиллагаанд
нөлөөлдөг.
Таны технологийн event хүлээж авч боловсруулах хязгаар хэд вэ?
5000/10000
Хэрэв мэдэхгүй бол Event-ийг алдаж байгаа нь тодорхой.
Халдлага илрүүлэх доод түвшинд ажиллах тусам технологийн хүчин
чадал их шаардана.
•
4. Ажилчдын нөөц болон анхаарлыг ихээр хандуулдаг.
Аюулгүй байдлын мэргэжилтнүүд цөөн бас үнэтэй байдаг
Тэднийг хэт их үр дүнгүй event-ээр хангах нь буруу.