NA
Эээх как бомбануло, пойду ОЗК надену
А может кто из представителей больших SOC-ов прокомментировать топик?
Что думаете по поводу ценности Splunk для Security (Detection/Response) в сравнении с SIEM системами?
Size: a a a
2019 February 17
2019 February 18
SR
Прокоментирую со стороны SOC Инфосекьюрити
Спор Splunk или другой SIEM сродни спору что лучше Windows или Linux. Лучше тот инструмент, который используешь на 100% и который решает конкретно твою бизнес задачу (СОКи тоже у всех имеют свою специфику)
Работающий СОК можно сделать на любом сиеме главное чтобы были процессы, в принципе можно и без сиема если постараться.
Мы в свое время вполне осознанно сделали ставку на Apache-стек в качестве платформы обработки событий.
Спор Splunk или другой SIEM сродни спору что лучше Windows или Linux. Лучше тот инструмент, который используешь на 100% и который решает конкретно твою бизнес задачу (СОКи тоже у всех имеют свою специфику)
Работающий СОК можно сделать на любом сиеме главное чтобы были процессы, в принципе можно и без сиема если постараться.
Мы в свое время вполне осознанно сделали ставку на Apache-стек в качестве платформы обработки событий.
A
Есть мнение что польза Splunk для секурити чуть более чем никакая. Вроде как ни на что кроме Log Management под PCI DSS не годится.
А вы как считаете?
А вы как считаете?
Брехня))
NA
Anton
Брехня))
Склонен доверять мнению Сергея :) ибо подтверждено практикой.
A
Факты есть? Что он не умеет с точки зрения "секурити"?
NA
Anton
Факты есть? Что он не умеет с точки зрения "секурити"?
Опппааа, косяк. Не заметил что коммент то совсем к другому посту. Каюсь!
y
Прокоментирую со стороны SOC Инфосекьюрити
Спор Splunk или другой SIEM сродни спору что лучше Windows или Linux. Лучше тот инструмент, который используешь на 100% и который решает конкретно твою бизнес задачу (СОКи тоже у всех имеют свою специфику)
Работающий СОК можно сделать на любом сиеме главное чтобы были процессы, в принципе можно и без сиема если постараться.
Мы в свое время вполне осознанно сделали ставку на Apache-стек в качестве платформы обработки событий.
Спор Splunk или другой SIEM сродни спору что лучше Windows или Linux. Лучше тот инструмент, который используешь на 100% и который решает конкретно твою бизнес задачу (СОКи тоже у всех имеют свою специфику)
Работающий СОК можно сделать на любом сиеме главное чтобы были процессы, в принципе можно и без сиема если постараться.
Мы в свое время вполне осознанно сделали ставку на Apache-стек в качестве платформы обработки событий.
Спасибо за комментарий.
> Спор Splunk или другой SIEM сродни спору что лучше Windows или Linux.
я бы не назвал это спором Splunk vs SIEM, просто есть эксперты которые считаю что Splunk в принципе не для Security Monitoring.
> Лучше тот инструмент, который используешь на 100% и который решает конкретно твою бизнес задачу
давайте отталкиваться от самого популярного топика — Windows домен, стандартный набор секурити систем (Firewall, IPS/NGFW, Proxy, AV). Задача — сбор логов для обнаружения угроз и последующего реагирования и расследования. Можно сказать что здесь есть некая специфика per customer, но она не на столько существенна, чтобы что-то в стеке систем или функциональности что-то сильно отличалось. Набор систем для мониторинга — лог шиппер, движок для нормализации и обогащения, движок для корреляции.
Считаете ли вы что Splunk для этой задачи является нерелевантной системой?
> Спор Splunk или другой SIEM сродни спору что лучше Windows или Linux.
я бы не назвал это спором Splunk vs SIEM, просто есть эксперты которые считаю что Splunk в принципе не для Security Monitoring.
> Лучше тот инструмент, который используешь на 100% и который решает конкретно твою бизнес задачу
давайте отталкиваться от самого популярного топика — Windows домен, стандартный набор секурити систем (Firewall, IPS/NGFW, Proxy, AV). Задача — сбор логов для обнаружения угроз и последующего реагирования и расследования. Можно сказать что здесь есть некая специфика per customer, но она не на столько существенна, чтобы что-то в стеке систем или функциональности что-то сильно отличалось. Набор систем для мониторинга — лог шиппер, движок для нормализации и обогащения, движок для корреляции.
Считаете ли вы что Splunk для этой задачи является нерелевантной системой?
PB
Спасибо за комментарий.
> Спор Splunk или другой SIEM сродни спору что лучше Windows или Linux.
я бы не назвал это спором Splunk vs SIEM, просто есть эксперты которые считаю что Splunk в принципе не для Security Monitoring.
> Лучше тот инструмент, который используешь на 100% и который решает конкретно твою бизнес задачу
давайте отталкиваться от самого популярного топика — Windows домен, стандартный набор секурити систем (Firewall, IPS/NGFW, Proxy, AV). Задача — сбор логов для обнаружения угроз и последующего реагирования и расследования. Можно сказать что здесь есть некая специфика per customer, но она не на столько существенна, чтобы что-то в стеке систем или функциональности что-то сильно отличалось. Набор систем для мониторинга — лог шиппер, движок для нормализации и обогащения, движок для корреляции.
Считаете ли вы что Splunk для этой задачи является нерелевантной системой?
> Спор Splunk или другой SIEM сродни спору что лучше Windows или Linux.
я бы не назвал это спором Splunk vs SIEM, просто есть эксперты которые считаю что Splunk в принципе не для Security Monitoring.
> Лучше тот инструмент, который используешь на 100% и который решает конкретно твою бизнес задачу
давайте отталкиваться от самого популярного топика — Windows домен, стандартный набор секурити систем (Firewall, IPS/NGFW, Proxy, AV). Задача — сбор логов для обнаружения угроз и последующего реагирования и расследования. Можно сказать что здесь есть некая специфика per customer, но она не на столько существенна, чтобы что-то в стеке систем или функциональности что-то сильно отличалось. Набор систем для мониторинга — лог шиппер, движок для нормализации и обогащения, движок для корреляции.
Считаете ли вы что Splunk для этой задачи является нерелевантной системой?
Спланк решит 100% задач.
SR
Спасибо за комментарий.
> Спор Splunk или другой SIEM сродни спору что лучше Windows или Linux.
я бы не назвал это спором Splunk vs SIEM, просто есть эксперты которые считаю что Splunk в принципе не для Security Monitoring.
> Лучше тот инструмент, который используешь на 100% и который решает конкретно твою бизнес задачу
давайте отталкиваться от самого популярного топика — Windows домен, стандартный набор секурити систем (Firewall, IPS/NGFW, Proxy, AV). Задача — сбор логов для обнаружения угроз и последующего реагирования и расследования. Можно сказать что здесь есть некая специфика per customer, но она не на столько существенна, чтобы что-то в стеке систем или функциональности что-то сильно отличалось. Набор систем для мониторинга — лог шиппер, движок для нормализации и обогащения, движок для корреляции.
Считаете ли вы что Splunk для этой задачи является нерелевантной системой?
> Спор Splunk или другой SIEM сродни спору что лучше Windows или Linux.
я бы не назвал это спором Splunk vs SIEM, просто есть эксперты которые считаю что Splunk в принципе не для Security Monitoring.
> Лучше тот инструмент, который используешь на 100% и который решает конкретно твою бизнес задачу
давайте отталкиваться от самого популярного топика — Windows домен, стандартный набор секурити систем (Firewall, IPS/NGFW, Proxy, AV). Задача — сбор логов для обнаружения угроз и последующего реагирования и расследования. Можно сказать что здесь есть некая специфика per customer, но она не на столько существенна, чтобы что-то в стеке систем или функциональности что-то сильно отличалось. Набор систем для мониторинга — лог шиппер, движок для нормализации и обогащения, движок для корреляции.
Считаете ли вы что Splunk для этой задачи является нерелевантной системой?
Указанную задачу на спланке решить можно даже без Enterprise Security аддона
PB
Указанную задачу на спланке решить можно даже без Enterprise Security аддона
+ достаточно enterprise
2019 February 19
S
Очень странное письмо) можно рубить маркетинговую активность и своих сейлов в регионе, но блокировать продажи исходя из инвестирования о.О ну и не жалко, ждём ухода qradar :)
OQ
Очень странное письмо) можно рубить маркетинговую активность и своих сейлов в регионе, но блокировать продажи исходя из инвестирования о.О ну и не жалко, ждём ухода qradar :)
Что же вы все хотите похоронить qradar?
S
Что же вы все хотите похоронить qradar?
Конкуренты-с)
OQ
Конкуренты-с)
Отсутствие конкуренции ведёт к деградации 😉
v
Очень странное письмо) можно рубить маркетинговую активность и своих сейлов в регионе, но блокировать продажи исходя из инвестирования о.О ну и не жалко, ждём ухода qradar :)
Оставьте хотя бы одного конкурента! И так уже дальше некуда
A
Конкуренты-с)
А вы за какой siem топите?
S
Оставьте хотя бы одного конкурента! И так уже дальше некуда
Ну Позитив же жив пока, вот его достаточно
NA
Отсутствие конкуренции ведёт к деградации 😉
DN
Оставьте хотя бы одного конкурента! И так уже дальше некуда
Будут тебе rusiem и комрад