K
Булшит же
Size: a a a
2021 August 03
K
И разве splunk и arcsight не примерно одного возраста?
RI
Три года разницы, 2000 и 2003 годы основания
K
Угу. Я о том же.
RI
Критикуя - предлагай (с) я ошибки не вижу особой, хотя и не очень согласен с выбором традиционного и современного SIEM. Мой бы выбор был Arcsight/Splunk/QRadar -> Exabeam -> Azure Sentinel и то я не очень в последнем уверен
K
Во-первых, я сомневаюсь, что есть «modern» и «legacy» SIEM, учитывая, что этой идее лет 20 всего, плюс сравниваемые представители - из одной эпохи, просто один получил бабки АНБ и написал свой датастор, а второй не написал почему-то и положился на SQL Server.
RI
ну ок, традиционный и next-gen. Вот Exabeam - явный next-gen, по сравнению с Arcsight?
K
Определи next-gen, пожалуйста.
K
Из таблички выходит, что next-gen - это «мы работаем поверх managed эластика (возможно, с диким оверхедом)».
K
А, наверное, ты не это имеешь ввиду.
RI
Наличие UBA функционала, способность обнаруживать угрозы, помогать в проведении расследования (с высокой степенью автоматизации), автоматизированное реагирование. Анализ не только на основании журналов, но и поведенческий/по аномалиям и т.д.
RI
Нет, конечно
K
Вот chronicle - это next-gen?
T
а кто-нибудь этот экзабим вообще видел?
RI
Это скорее между next-gen и emerging (вживую не трогал, но по даташитам похоже)
RI
Я щупал, до сих пор не понимаю, почему его ещё не купили :))
T
я тоже щупал.. у меня впечатление крайне неположительное..
T
жрет очень много ресурсов, выхлопа с этих ресурсов почти никакого.. я бы записывал это не в next gen, а в before christ
RI
Вообще такие штуки предполагают довольно высокий уровень процессной составляющей, без этого они бесполезны скорее. Ну и попытка решить с их помощью проблемы отсутствия людей/процессов - ну такое
T
так я не только про людские ресурсы) еще и физические