все, вопросов не имею, против режима не иду... (ушел в белорусские болота)

Как же они теперь бе flash-анимации и баннеров-то, бедолаги...

Фотошоп, иллюстратор и ещё куча всего. Но сюда вбросил не с этой целью. Сша продолжает давить через ит.

Так. Наверное режим бояна сейчас включу. Но вброшу следующий вопрос: а нужна ли вообще вам, друзья, корреляция в сок? Объясню свой вопрос. Много общаюсь с коллегами по цеху, в том числе в разрезе use case.  И чем дальше тем больше вижу, что в среднем по больнице все инциденты которые запускают каждый из заказчиков в siem, работают каждый на своём источнике. Микрокорреляция событий антивируса, сборка событий WAF воедино, склеивание событий от контроллера домена. При этом сами источники, приобретая NG - окрас, сами умеют делать такую корреляцию на борту. В итоге на мой взгляд в среднем почти все реально не используют возможности корреляции.

А как дела обстоят у вас: сколько или какой процент сценариев использует сложную корреляцию с одного источника? А сколько прямо с нескольких?

Тоже напрягает этот термин:) $plunk корреляцией называет даже поиск в одном источнике.

Адекватно очень редко используется связь событий из различных источников.

Вот ты сейчас унизил и оставил обтекать кучу людей с правилами 5 failed logins = bruteforce

Почему? Тоже полезная задача. Просто вопрос насколько действительно сейчас используется мощь купленного инструмента

Вот чекают одну дата модель и гордо называют Correlation Search (pre built)

Ну, тогда я честно скажу, что есть, но мало. Сложных корреляций и мультиресурсных тоже

И я бы предпочёл другой инструмент, типа говноsoar, который работу аналитика по первичному разбору и корреляциям делает сам (пусть даже со встроенными сценариями по классике, для начала)

Что взамен? Смотреть в консоль IDS?

with different dst.host timer 60s =)))

генить инциденты по данным из ids?

Не обязательно. Брутфорсом же может быть несколько активностей

конечно) это скорее детект аномалии

Одной из

+

/зануда_моде_он