KK
в гипотетической ситуации, когда сбор путем чтения базы никак не получится
Size: a a a
2021 August 17
c
Ну с KSC точно можно. И да, придётся пилить нормализацию.
m
Если источник ее не приносит, то только обогащением. Если приносит (например некоторые ngfw и т.д.) - на нормализации заполнить.
ИБ
Не верю что у drweb через постргес не читает (неделю мучились). Вы можете время не правильно настроить и получать с отставанием в несколько часов. Там запросы выполняются в итоге и их можно отладить через логи постгреса, а через админку постгреса соединение задачи смотреть.
ИБ
А ещё доступ к серверу надо указать с адреса агента и юзера его.
ИБ
Инструкция, конечно для постгреса ужасная в реф гайде. Админка у него обновилась, а скрины старые и в первый раз тяжко пазл собрать.
c
Вообще Drweb может работать и не на postgre, если что
c
А ещё могут быть админы, которые не хотят давать доступ к СУБД
c
Вариантов множество
c
И ещё раньше в MP SEIM был кривой SQL запрос в профиле по умолчанию
c
Много нюансов
ИБ
Ясно, вставил свои 5 копеек. Бд оптимальный вариант из-за готовой нормализации. А у вопрошающего вроде с бд не получается читать. Сислог не нравится мне тем, что нагрузку на сием даёт лишнюю слишком уж.
c
На счёт последнего утверждения есть какие-то замеры? )
К
По идее, должно быть наоборот. Может, в задаче по сислогу размер пачки подкорректировать?
ИБ
Мои предчувствия. С ужасом вспоминаю мусор от сетевого оборудования.
c
Предчувствия это не научно, расходимся
KK
в моем кейсе бд предполагается в закрытом сегменте, куда агенту не дадут постучаться изначально, поэтому изучаем возможные пути обхода с пассивным сбором
К
Подсадить агента в закрытый сегмент?
c
Денег стоит же
ИБ
Если малая нагрузка, то комп бухгалтера потянет или другая недорогая сборка.