NA
А некоторые зарубежные - не умеют... это парадокс века
Size: a a a
2019 December 06
DP
некоторые зарубежные сием умеют форвардить весь входящий поток в сислог и не булькают. просто молча форвардят. даже не тормозят. поток такой, не одну тысячу епс
Какой там не тормозит при этом?
m
некоторые зарубежные сием умеют форвардить весь входящий поток в сислог и не булькают. просто молча форвардят. даже не тормозят. поток такой, не одну тысячу епс
И много будет толку, если SIEM будет форвардить куда-то уже сконвертированные во внутренний формат события?
IM
не внутреннем. почти в исходном, короче вполне обрабатываемым внешним софтом
ММ
коллеги, в 21.1 есть механизм webhooks по событиям
ММ
на нем можно реализовать разумный механизм форводинга
NA
Если серьезно. Нужен просто оперативный доступ к данным, которые собирает MP и Ваша аналитика идет в Elastic, делайте свой кластре ELastic и вешайте на него MP и свою систему. Шардирование ES вам в помощь. Если нужна еще и обработка данных, делайте батчевые выгрузки из ES в свою систему (придется скриптонуть). Если у вам нужены не все события, а только определенные и их совсем мало - webhook.
NA
Это мое частное мнение и оно может не совпадать с мнением редакции
IM
а поддержка останеться если мп повесить на свой кластер эластика?
A
по кластеризации, помнится, обещали расширить вариантов. ;) ноды на 1 серваке - это антибестпрактис ;) Может там и будет что интересное заодно
m
не внутреннем. почти в исходном, короче вполне обрабатываемым внешним софтом
Нередко в SIEM это будет таки внутренний формат. Иногда похожий, а иногда и не похожий на исходные события. Обрабатывать своим самописным софтом это, коненчо, не помешает. Обрабатывать другим готовым решением - уже может и помешать.
m
а поддержка останеться если мп повесить на свой кластер эластика?
А зачем на свой? Выше вроде ж предлагалось таскать данные в свой ластик/etc а не направлять весь трафик в свой кластер со своими настройками.
IM
Я понял что предложили развернуть свой кластер эластика и на него зацепить МП.
NA
Да, именно это я предложил. Что будет с ТП, надо получить ответ от ПТ :)
m
Да, именно это я предложил. Что будет с ТП, надо получить ответ от ПТ :)
Чорт, смотрел на ответы выше и пропустил твое предложение)
МЖ
max
И много будет толку, если SIEM будет форвардить куда-то уже сконвертированные во внутренний формат события?
зависит от задачи. И от софта. Но в целом почему бы и нет - отдавать уже отфильтрованные, нормализованные и корректно категоризированные событие для визуализации. Чтобы не делать 10 раз одну и ту же задачу. И получать единый набор данных в разных системах.
m
Максим Жевнерев
зависит от задачи. И от софта. Но в целом почему бы и нет - отдавать уже отфильтрованные, нормализованные и корректно категоризированные событие для визуализации. Чтобы не делать 10 раз одну и ту же задачу. И получать единый набор данных в разных системах.
Так я в целом и не спорю. Просто это уже другая задача. Ну или я неправильно понял исходный запрос.
ММ
Максим Жевнерев
зависит от задачи. И от софта. Но в целом почему бы и нет - отдавать уже отфильтрованные, нормализованные и корректно категоризированные событие для визуализации. Чтобы не делать 10 раз одну и ту же задачу. И получать единый набор данных в разных системах.
Webhooks с этим должен справиться
МЖ
вопрос - вебхук это опять из разряда «напишите сами»?
ММ
Максим Жевнерев
вопрос - вебхук это опять из разряда «напишите сами»?
пример сервера мы предоставляем, логику обработки и что с ними дальне делать это вы уже сами))