DP
Ближе к кейсу: вот есть kv лист. Как данными из него обогатить события при помощи пайплайнов в эластике? Не вижу способа (но это не факт, что его нет, потому и спрашиваю)
Size: a a a
2019 July 23
MK
Ближе к кейсу: вот есть kv лист. Как данными из него обогатить события при помощи пайплайнов в эластике? Не вижу способа (но это не факт, что его нет, потому и спрашиваю)
Script Processor, ingest node
MK
но вроде бы это не про триггер скрипта с файловой системы
DP
Вот да... Да и такое ощущение, что может перфоманс просесть сильно. Черт, ну должно же что-то быть )
MK
Вот да... Да и такое ощущение, что может перфоманс просесть сильно. Черт, ну должно же что-то быть )
да - логстеш)
DP
Черт, а так все шло хорошо (
2019 July 24
R
Коллеги, есть ли здесь кто-нибудь, кто трогал САПУИБ от Газинформсервиса? Интересует субъективное мнение о зрелости решения
SB
Коллеги, есть ли здесь кто-нибудь, кто трогал САПУИБ от Газинформсервиса? Интересует субъективное мнение о зрелости решения
Смотря какие цели преследуете. Там много модулей.
R
Смотря какие цели преследуете. Там много модулей.
И все эти модули - с разным качеством проработки? Можно упростить вопрос) Работа с этой системой формирует скорее положительное мнение о ней, или скорее отрицательное? Пусть субъективное
EO
Может быть внутри ЦБ. Со стороны потребителя - это именно tip
СОИБ КЦОИ и СОИБ ЧОБР никак не интегрированы (и не потребляют сервисы) АСОИ, это продукт сугубо для внешнего потребителя.
$
СОИБ КЦОИ и СОИБ ЧОБР никак не интегрированы (и не потребляют сервисы) АСОИ, это продукт сугубо для внешнего потребителя.
Т.е. асои это очередная тикетница?)
EO
Т.е. асои это очередная тикетница?)
Не могу сказать, не пользуюс)
SB
И все эти модули - с разным качеством проработки? Можно упростить вопрос) Работа с этой системой формирует скорее положительное мнение о ней, или скорее отрицательное? Пусть субъективное
Да, разрабатывались в разное время. Дисклеймер: я бывший архитектор и разработчик САПУИБ.
Наиболее зрелые "УКОЗ (Управление и классификация объектов защиты)", "УИИБ (Управление инцидентами ИБ)" и "УСТИБ (Управление соответствием требованиям по ИБ)".
Также, проработка зависит от платформы. САПУИБ представляет из себя приложения на базе одного из двух ПО: RSA Archer (США) или Eplat4m (Россия).
Сейчас ввиду требований по импортозамещению активно разрабатывается функционал на базе Eplat4m. Но решения на базе RSA Archer более зрелые, стабильные и успешно функционируют у ряда заказчиков.
Поэтому, если не требуется вариант с отечественным ПО, то лучше выбирать САПУИБ на RSA Archer. В добавок ко всему, у RSA очень богатое community по RSA Archer.
Да простят меня бывшие коллеги, но решение на Eplat4m я бы не рекомендовал. Пока еще слишком много багов и косяков в ПО Eplat4m.
В обоих вариантах САПУИБ это IIS приложение на Windows сервере и с MS SQL Server БД.
В целом, как я и сказал, смотря какой функционал ожидаете от системы.
На текущем месте работы я пользуюсь R-Vision (другие решения данного класса не пробовал и кроме Security Vision на нашем рынке ничего особо и нет), и могу сказать, что САПУИБ более гибок. Больше возможностей как по дотачиванию карточек под себя (создание полей, формулы и т.д.), так и по интеграции с другими системами.
Если брать сугубо функционал модулей, то, например управление активами, на мой взгляд в САПУИБ развито лучше. Есть возможность связать все и вся между собой, создавать любые параметры описания активов.
С другой стороны, управление инцидентами уже более спорно. В САПУИБ есть хорошие возможности по выгрузке отчетов, построении дашбордов. Но R-Vision сильно выигрывает своими возможностями из коробки по активным сценариям реагирования (задатки SOAR) и специфичными выгрузками вроде ФинЦЕРТ и формы 203 ПТК ПСД.
САПУИБ сильно заточен на группу Газпром (с ее методиками и СТО Газпром), R-Vision на банковский сектор.
Субьективно, все решения данного класса необоснованно дорогие. Но в крупных компаниях помогают структуризировать/привести в порядок учет.
Наиболее зрелые "УКОЗ (Управление и классификация объектов защиты)", "УИИБ (Управление инцидентами ИБ)" и "УСТИБ (Управление соответствием требованиям по ИБ)".
Также, проработка зависит от платформы. САПУИБ представляет из себя приложения на базе одного из двух ПО: RSA Archer (США) или Eplat4m (Россия).
Сейчас ввиду требований по импортозамещению активно разрабатывается функционал на базе Eplat4m. Но решения на базе RSA Archer более зрелые, стабильные и успешно функционируют у ряда заказчиков.
Поэтому, если не требуется вариант с отечественным ПО, то лучше выбирать САПУИБ на RSA Archer. В добавок ко всему, у RSA очень богатое community по RSA Archer.
Да простят меня бывшие коллеги, но решение на Eplat4m я бы не рекомендовал. Пока еще слишком много багов и косяков в ПО Eplat4m.
В обоих вариантах САПУИБ это IIS приложение на Windows сервере и с MS SQL Server БД.
В целом, как я и сказал, смотря какой функционал ожидаете от системы.
На текущем месте работы я пользуюсь R-Vision (другие решения данного класса не пробовал и кроме Security Vision на нашем рынке ничего особо и нет), и могу сказать, что САПУИБ более гибок. Больше возможностей как по дотачиванию карточек под себя (создание полей, формулы и т.д.), так и по интеграции с другими системами.
Если брать сугубо функционал модулей, то, например управление активами, на мой взгляд в САПУИБ развито лучше. Есть возможность связать все и вся между собой, создавать любые параметры описания активов.
С другой стороны, управление инцидентами уже более спорно. В САПУИБ есть хорошие возможности по выгрузке отчетов, построении дашбордов. Но R-Vision сильно выигрывает своими возможностями из коробки по активным сценариям реагирования (задатки SOAR) и специфичными выгрузками вроде ФинЦЕРТ и формы 203 ПТК ПСД.
САПУИБ сильно заточен на группу Газпром (с ее методиками и СТО Газпром), R-Vision на банковский сектор.
Субьективно, все решения данного класса необоснованно дорогие. Но в крупных компаниях помогают структуризировать/привести в порядок учет.
R
Большое спасибо за развёрнутый ответ!
PK
Да, разрабатывались в разное время. Дисклеймер: я бывший архитектор и разработчик САПУИБ.
Наиболее зрелые "УКОЗ (Управление и классификация объектов защиты)", "УИИБ (Управление инцидентами ИБ)" и "УСТИБ (Управление соответствием требованиям по ИБ)".
Также, проработка зависит от платформы. САПУИБ представляет из себя приложения на базе одного из двух ПО: RSA Archer (США) или Eplat4m (Россия).
Сейчас ввиду требований по импортозамещению активно разрабатывается функционал на базе Eplat4m. Но решения на базе RSA Archer более зрелые, стабильные и успешно функционируют у ряда заказчиков.
Поэтому, если не требуется вариант с отечественным ПО, то лучше выбирать САПУИБ на RSA Archer. В добавок ко всему, у RSA очень богатое community по RSA Archer.
Да простят меня бывшие коллеги, но решение на Eplat4m я бы не рекомендовал. Пока еще слишком много багов и косяков в ПО Eplat4m.
В обоих вариантах САПУИБ это IIS приложение на Windows сервере и с MS SQL Server БД.
В целом, как я и сказал, смотря какой функционал ожидаете от системы.
На текущем месте работы я пользуюсь R-Vision (другие решения данного класса не пробовал и кроме Security Vision на нашем рынке ничего особо и нет), и могу сказать, что САПУИБ более гибок. Больше возможностей как по дотачиванию карточек под себя (создание полей, формулы и т.д.), так и по интеграции с другими системами.
Если брать сугубо функционал модулей, то, например управление активами, на мой взгляд в САПУИБ развито лучше. Есть возможность связать все и вся между собой, создавать любые параметры описания активов.
С другой стороны, управление инцидентами уже более спорно. В САПУИБ есть хорошие возможности по выгрузке отчетов, построении дашбордов. Но R-Vision сильно выигрывает своими возможностями из коробки по активным сценариям реагирования (задатки SOAR) и специфичными выгрузками вроде ФинЦЕРТ и формы 203 ПТК ПСД.
САПУИБ сильно заточен на группу Газпром (с ее методиками и СТО Газпром), R-Vision на банковский сектор.
Субьективно, все решения данного класса необоснованно дорогие. Но в крупных компаниях помогают структуризировать/привести в порядок учет.
Наиболее зрелые "УКОЗ (Управление и классификация объектов защиты)", "УИИБ (Управление инцидентами ИБ)" и "УСТИБ (Управление соответствием требованиям по ИБ)".
Также, проработка зависит от платформы. САПУИБ представляет из себя приложения на базе одного из двух ПО: RSA Archer (США) или Eplat4m (Россия).
Сейчас ввиду требований по импортозамещению активно разрабатывается функционал на базе Eplat4m. Но решения на базе RSA Archer более зрелые, стабильные и успешно функционируют у ряда заказчиков.
Поэтому, если не требуется вариант с отечественным ПО, то лучше выбирать САПУИБ на RSA Archer. В добавок ко всему, у RSA очень богатое community по RSA Archer.
Да простят меня бывшие коллеги, но решение на Eplat4m я бы не рекомендовал. Пока еще слишком много багов и косяков в ПО Eplat4m.
В обоих вариантах САПУИБ это IIS приложение на Windows сервере и с MS SQL Server БД.
В целом, как я и сказал, смотря какой функционал ожидаете от системы.
На текущем месте работы я пользуюсь R-Vision (другие решения данного класса не пробовал и кроме Security Vision на нашем рынке ничего особо и нет), и могу сказать, что САПУИБ более гибок. Больше возможностей как по дотачиванию карточек под себя (создание полей, формулы и т.д.), так и по интеграции с другими системами.
Если брать сугубо функционал модулей, то, например управление активами, на мой взгляд в САПУИБ развито лучше. Есть возможность связать все и вся между собой, создавать любые параметры описания активов.
С другой стороны, управление инцидентами уже более спорно. В САПУИБ есть хорошие возможности по выгрузке отчетов, построении дашбордов. Но R-Vision сильно выигрывает своими возможностями из коробки по активным сценариям реагирования (задатки SOAR) и специфичными выгрузками вроде ФинЦЕРТ и формы 203 ПТК ПСД.
САПУИБ сильно заточен на группу Газпром (с ее методиками и СТО Газпром), R-Vision на банковский сектор.
Субьективно, все решения данного класса необоснованно дорогие. Но в крупных компаниях помогают структуризировать/привести в порядок учет.
Мое уважение!
EB
Кто нибудь делал связку MISP+TheHive+Cortex?
EB
Без TheHive и Cortex, правда )
$
Без TheHive и Cortex, правда )
А зачем они там?
$
В этой схеме