Телеграмм чат группы phd

vbengin

Говорил не про собственные вендорские реп списки. А полноценные фиды. Это то что заказчик сам качает из разных мест.

да

15:35пожаловаться #1

PK

Дискуссия становится интересной)

15:35пожаловаться #2

v

Про это и речь. Нет нормального инструмента. И главное фиды по определению не могут быть чисто вендорской историей. Всё же они ближе к комьюнити стайл. А значит и инструментальная обвязка должна быть доступна какая-то .

15:36пожаловаться #3

PK

Если я правильно уловил идею, то вы хотите, чтобы фид прилетал на сзи, и сзи на основе данных фида делала какие то действия?

15:39пожаловаться #4

A

Pavel Korostelev

Если я правильно уловил идею, то вы хотите, чтобы фид прилетал на сзи, и сзи на основе данных фида делала какие то действия?

алертила

15:50пожаловаться #5

A

или блокировала если в фиде на 146% уверены

15:51пожаловаться #6

PK

Alexey

алертила

А зачем сзи алертить, если это можно делать в сиеме?

15:52пожаловаться #7

A

Pavel Korostelev

А зачем сзи алертить, если это можно делать в сиеме?

для того чтобы не перегружать SIEM обогащением

15:53пожаловаться #8

A

vbengin

Большинству которые сегодня стоят у заказчиков не хватает мощностей, и вот геморроя с избытком.

👆

15:53пожаловаться #9

PK

Alexey

для того чтобы не перегружать SIEM обогащением

То есть фид прилетает в систему управления, СЗИ делает первичный анализ и отправляет в сием только одну строку, вместо всего всего лога?

15:57пожаловаться #10

v

Нет. У заказчика есть сием хорошо. У заказчика нет синема тоже не страшно. Для задачи поиска следов срабатывания фидов чием не нужен. И даже сзи в большей части не нужны.

15:58пожаловаться #11

v

Нужен Калашников который берет например всегда данные по днс из виндового днс который и так есть у 95% организаций

15:58пожаловаться #12

v

Ну и часть про обмен там чуточку важнее. Но мне страшно ее обсуждать пока