$
Это все в методике и закладывается, что тестируем и как
Методика это нечто общее для всех. А внедрение таких систем как сием на практике для всех оказывается чем-то частным
Size: a a a
2019 July 24
$
Ну и результаты тестов тоже
K
Методика это нечто общее для всех. А внедрение таких систем как сием на практике для всех оказывается чем-то частным
Нет, методика может быть общая, а может быть под конкретного заказчика
М
Кто тебе сказал, что ключевой параметр SIEM это поиск? Поиск это про форензику, а не про корреляцию, дружище. Stop living the Past.
нафига вообще сием без поиска
v
Итак. Раз все такие активные.
Давайте начнем вот с чего:
Какую пользу заказчик (обычный/ среднестатистический) получает от внедрения Сием (любой сием)
Давайте начнем вот с чего:
Какую пользу заказчик (обычный/ среднестатистический) получает от внедрения Сием (любой сием)
EO
нафига вообще сием без поиска
Поиск на нормально, хотя бы в течение 9 месяцев обученном SIEM, вторичен
М
ну если 9-ть месяцев обучать без поиска нормального то норм )
RI
Поиск на нормально, хотя бы в течение 9 месяцев обученном SIEM, вторичен
Корреляция вообще-то прямая функция от поиска.
v
Пишите сюда по пунктам.
Например
1. Начнет понимать какой хаос происходит в его инфраструктуре на уровне событий.
Например
1. Начнет понимать какой хаос происходит в его инфраструктуре на уровне событий.
RI
Итак. Раз все такие активные.
Давайте начнем вот с чего:
Какую пользу заказчик (обычный/ среднестатистический) получает от внедрения Сием (любой сием)
Давайте начнем вот с чего:
Какую пользу заказчик (обычный/ среднестатистический) получает от внедрения Сием (любой сием)
Не забанишь за честный ответ?
v
Нет.
A
Нет, методика может быть общая, а может быть под конкретного заказчика
под конкретную инфраструктуру (стенд), количество и тип источников событий, настроек логирования на источниках, количество и сложность настроенных правил корреляции и обьема активных списков, обогащения событий и так далее и так далее
М
Ruslan Ivanov
Корреляция вообще-то прямая функция от поиска.
это вы спланковскую корреляцию приплетаете, или историческую, в нормальном сием она реалтайм
EO
это вы спланковскую корреляцию приплетаете, или историческую, в нормальном сием она реалтайм
Возвращаемся к вопросу, что такое сием, и почему сиемом называют то, что не умеет в реалтайм.
v
это вы спланковскую корреляцию приплетаете, или историческую, в нормальном сием она реалтайм
Нет такой задачи у заказчика. У него другие задачи. Сформулируйте в задачах заказчика
RI
это вы спланковскую корреляцию приплетаете, или историческую, в нормальном сием она реалтайм
Это пока событий мало или всё в рамках одной системы укладывается
K
под конкретную инфраструктуру (стенд), количество и тип источников событий, настроек логирования на источниках, количество и сложность настроенных правил корреляции и обьема активных списков, обогащения событий и так далее и так далее
Верно, но отталкиваясь от потребностей клиента, а не требований тестируемого продукта
М
Возвращаемся к вопросу, что такое сием, и почему сиемом называют то, что не умеет в реалтайм.
называют потому что умеет корреляцию, хоть и не реалтайм
A
это вы спланковскую корреляцию приплетаете, или историческую, в нормальном сием она реалтайм
что такое реалтайм? в системе с множеством редиректов событий от источника до алерта по инциденту ,временными окнами в корреляциях и запасу по времени при рассинхроне времени источников?
EO
Ruslan Ivanov
Это пока событий мало или всё в рамках одной системы укладывается
"не умеем" пишется короче