Z
И скидываешь номер тикета
Size: a a a
2021 March 10
E
Поднимаешь вой
читер
Z
Рекурсия с логами прям доставляла
SF
И скидываешь номер тикета
А что так можно было?😅
i
справедливости ради надо сказать, что у кумы не сильно лучше, но там подержать за шею RnD не дают
i
вообще кума этот случай, когда на продукты конкурентов явно смотрели и стремились сделать лучше. но смотрела разработка, а не конечный пользователь
NA
когда пилишь классический CEP, то классический и получаешь, включая UI. RuSIEM, Комрад, теперь и KUMA. Даже интерфейсы создания правил похожи и все как один говорят про 300K EPS на Rapberry Pi (до того момента пока не столкнуться с первым реальным проектом уровня Интерпрайз компании).
NA
в классических CEP можно делать простенькие правила, для которых не надо даже приходить в сознание. когда начинается настоящая поИБень, приходится идти за тяжелыми наркотиками в виде МП СИЕМ, Арксайта или Спланка
MG
когда пилишь классический CEP, то классический и получаешь, включая UI. RuSIEM, Комрад, теперь и KUMA. Даже интерфейсы создания правил похожи и все как один говорят про 300K EPS на Rapberry Pi (до того момента пока не столкнуться с первым реальным проектом уровня Интерпрайз компании).
Указанные тобой продукты в бою, по ходу дела, никто не тестил никогда 😂
NA
о каком именно продукте речь?
MG
Русием, комрад и кума
RS
ну русием то мог быть вполне
NA
Мне пришлось вживую потестить первые два, поработать в арксайте, курадаре и до сих пор жить в спланке. Кажется, этого должно быть достаточно, чтобы иметь право делать какие-либо выводы по Куме )))))
NA
иногда просто по админгайду можно понять как что и на чем сделано ибо не так уж много архитектурных решений для создания СИЕМ
e
Русием, комрад и кума
Кажется, RuSIEM был на каком-то из StandOff-ов.
MG
Мне пришлось вживую потестить первые два, поработать в арксайте, курадаре и до сих пор жить в спланке. Кажется, этого должно быть достаточно, чтобы иметь право делать какие-либо выводы по Куме )))))
Насчет спланка соглашусь, очень удобное решение, но его разве вернули в РФ?
RS
Кажется, RuSIEM был на каком-то из StandOff-ов.
на прошлом PhD, да
MG
иногда просто по админгайду можно понять как что и на чем сделано ибо не так уж много архитектурных решений для создания СИЕМ
Не так уж и много - это громко сказано 😂 пара-тройка, скорее
e
Коллеги, у кого-то работает обогащение событий с белыми IP по Country GeoIP на потоке событий >5K EPS?
R23.1 - проверка IP запросом в ТС с функцией in_subnet, в ТС 223К строк.
У меня сейчас ~10К EPS и даже увеличение воркеров для обогатителя не помогает.
R23.1 - проверка IP запросом в ТС с функцией in_subnet, в ТС 223К строк.
У меня сейчас ~10К EPS и даже увеличение воркеров для обогатителя не помогает.
MG
на прошлом PhD, да
