$
Щас придумаем tias
Ты одну s забыл дописать
Size: a a a
2020 May 28
v
сработки можно вывести в интерфейс самой балалайки, и отдать syslogом куда нибудь
NA
Вы про Kaspersky CyberTrace? Тогда такое решение уже придумали
A
а мы ща коммерческий продукт придумываем ? или НКО?
v
Вы про Kaspersky CyberTrace? Тогда такое решение уже придумали
мне казалось оно не имеет своего хранилища, нет поиска по историческим данных
v
и главное не проводит аггрегацию
v
на мой взгляд отличие от SIEM в том что не нужно каждый сетевой пакет записывать как событие.
v
(каждую сесию я имею в виду)
v
можно смело аггрегировать в часовые банки, что должно радикально снизить косты на инфраструктуру
v
а мы ща коммерческий продукт придумываем ? или НКО?
а он разве не бесплатный?
A
а он разве не бесплатный?
открытый вопрос)
$
открытый вопрос)
Изначально бесплатный опенсорц был
$
Про ассоциацию вспомни
A
Вы про Kaspersky CyberTrace? Тогда такое решение уже придумали
👆
A
можно смело аггрегировать в часовые банки, что должно радикально снизить косты на инфраструктуру
а? что агрегировать?
A
запросы? Src.ip/DST.IP? в часовые банки?
NA
Из всего услышанного задача не кажется рокет-саенсом. Единсвенная, часть которую я не знаю на чем делать - поточный поиск индикаторов (пачка индикаторов - 80К-100К штук + фид с URL и путями ресстра) и то, тут задача близкая к тому, что делает snort
NA
хотя, вы же работаете/работали в вендоре и знаете что бывает, когда разработка говорит "задача не кажется рокет-саенсом" ))))
$
хотя, вы же работаете/работали в вендоре и знаете что бывает, когда разработка говорит "задача не кажется рокет-саенсом" ))))
+3 года к ожидаемым срокам
v
запросы? Src.ip/DST.IP? в часовые банки?
да, кажется нет задачи применять иоки непосредственно на потоке. можо смело на часовых срезах, запустил задачу повращал её час а там и новый пакет данных прилетел.