6
если у них есть свой сием, то какбы есть репликация событий и иерархия площадок
Size: a a a
2019 December 06
A
Не все системы поддерживают 2 дестенейшена для логов, а те, что поддерживают, временами только с бубном это делают
6
Не все системы поддерживают 2 дестенейшена для логов, а те, что поддерживают, временами только с бубном это делают
Для syslog можно поднять сервер пересылки промежуточный например. Он вполне дублировть будет
SL
Так а если я уже это делаю, зачем мне дублировать?
На практике много раз сталикавался. Если у заказчика уже есть LM, то он не хочет дублировать его. Используйте тот транспорт, что есть. Или дайте свой, но он должен удовлетворять их LM
На практике много раз сталикавался. Если у заказчика уже есть LM, то он не хочет дублировать его. Используйте тот транспорт, что есть. Или дайте свой, но он должен удовлетворять их LM
SL
Не все системы поддерживают 2 дестенейшена для логов, а те, что поддерживают, временами только с бубном это делают
Так оно и есть.
SL
Для syslog можно поднять сервер пересылки промежуточный например. Он вполне дублировть будет
Тут вопрос к вендору. Как наиболее адекватно получить копию пайплайна не городя лишнего. Вдруг у них есть "хорошая" реализация
6
Тут вопрос к вендору. Как наиболее адекватно получить копию пайплайна не городя лишнего. Вдруг у них есть "хорошая" реализация
Задача сиема принять и обработать события. Реализация копии вообще не его задача
6
Из того что нельзя копирнуть типов источников вообщето мало
6
да кроме тогоже сислога особо ничего и нет
ММ
Так а если я уже это делаю, зачем мне дублировать?
На практике много раз сталикавался. Если у заказчика уже есть LM, то он не хочет дублировать его. Используйте тот транспорт, что есть. Или дайте свой, но он должен удовлетворять их LM
На практике много раз сталикавался. Если у заказчика уже есть LM, то он не хочет дублировать его. Используйте тот транспорт, что есть. Или дайте свой, но он должен удовлетворять их LM
В вашем кейсе самое простое будет переносить данные в другой эластик через снэпшоты, версия должна ЕС совпадать. У новых версий ЕС есть тоже механизмы кроскластерной перекачки и там можно запилить поддержку совместимостей.
6
Хотите нормализованные события и дальше по цепочке - есть репликация между siem'ами
6
Максим Максимович
В вашем кейсе самое простое будет переносить данные в другой эластик через снэпшоты, версия должна ЕС совпадать. У новых версий ЕС есть тоже механизмы кроскластерной перекачки и там можно запилить поддержку совместимостей.
Не хочет он это делать. Такбы и elasticexport можно былоб предложить
SL
Максим Максимович
В вашем кейсе самое простое будет переносить данные в другой эластик через снэпшоты, версия должна ЕС совпадать. У новых версий ЕС есть тоже механизмы кроскластерной перекачки и там можно запилить поддержку совместимостей.
Если внешний сервис не эластик, то беда.
DP
Если внешний сервис не эластик, то беда.
logstash input = elastic (MP) output = whatever
DP
Скрыпт + крон, запрос в эластик - вывод куда угодно.
Почему задачу вывода всех событий в какую-то левую систему должен выполнять вендор сиема?
Считайте открытый порт 9200 на эластике apiшкой.
Почему задачу вывода всех событий в какую-то левую систему должен выполнять вендор сиема?
Считайте открытый порт 9200 на эластике apiшкой.
A
да кроме тогоже сислога особо ничего и нет
вчера только видел док на OPSEC одного SIEM, в котором говорилось, что если вы подключите дополнительный OPSEC-сборщик, то наш работать не может, так как там появляются доп метки
A
Аналогично BlueCoat Proxy, хоть там и сислог, но он расширяется, если целей несколько
A
но это уже тема не для этого чатика ;)
К
вчера только видел док на OPSEC одного SIEM, в котором говорилось, что если вы подключите дополнительный OPSEC-сборщик, то наш работать не может, так как там появляются доп метки
Нормализацию подправить, чтобы эти события с метками переваривать, не вижу чем-то нереальным.
DP
Нормализацию подправить, чтобы эти события с метками переваривать, не вижу чем-то нереальным.
++