Переходи на osqueryi

как профит от osquery в винде ?

вот он точно, куда баганее, чем sysmon

Патч/вульнеоаблити_менеджмент/мониторинг_более_продвирутый

Возможно я рожу ряд статей

На эту тему

гре пруфы, Билли ?

Гугли. При таком подходе ответ один - ты мне за это не платишь (за пруфы)

Больше статей хороших и разных!

Вот так всегда бывает: вчера ты только добавил нового админа. А сегодня уже решают что может Сием нам и нафиг не нужен.

Как, так то!? :)

Володя, не начинай

Вопрос был не про это

Но если серьезно, считаю что тема не раскрыта. Вопрос исходно был другой.

Ну дык..

Часто ли мы коррелируем между разными источниками -  Не часто (надо сделать голосовалку)

Однако мы ведь очень часто коррелируем в одном источнике. (у меня таких примеров тонна +1). Да есть кейсы на одиночные события но и тут есть масса вопросов:

А без сиема мы чё с фидами и другими списками делать будем. Последовательно интегрировать с каждым СЗИ?

А что делать с системами не СЗИ?  Тут ещё пролетало ЛМ. Умеет ЛМ нормализовывать? Нет? И много у нас специалистов способных читать сырые логи 20 разных систем? (не с целью расследования а именно реагирования по 100 раз в день)

Ну и главное. Давайте придумаем формат закрытия темы. Может нам нужна голосовалка до и после. Хотелось бы чтоб мы научились приходить к какому то консенсусу даже если он не до конца устраивает меньшинство

А нужен консенсус?

Да

все равно люди останутся при своем мнении,просто эта площадка дает высказаться без очереди

@Scorp2018 Смотри как я умею. :). Говорю же да.