T
железные
Size: a a a
2021 August 03
12
Тоже соглашусь. Во-первых это не siem, а uba. Во-вторых они это называют сиемом только из-за того что для их uba тоже нужно собирать логи. В-третьих да, эластик с диким оверхедом. Хотя как uba - неплохой скоринг юзеров
T
and entity еще..
RI
Ну нет счастья в подлунном мире... Вот если бы @vbengin запинал до этого PT SIEM, но вмешались высшие силы... :))
K
Как назывался тот SIEM, который Cisco OEM’ила? Он умел аномалии, хотя и по статическим факторам. Автоматизированное реагирование - это эккаунт заблокировать по срабатыванию алерта? Кажется, это многие умеют?
K
Я не спорю, если что. Я понять хочу.
МЖ
- UBA-функционал, который нигде и никогда толком не работает до момента полноценного профилирования и выделенных группах и то если очень повезет. Казалось бы, почему бы не взять соответствующий продукт ровно под соответствующие задачи.
- функционал реагирования, который жутко ограничен и любой SOAR дает возможностей в разы больше
- поведенческие и аномальные движки, которые опять же ни один вендор кроме как на сферической тестовой инфраструктуре не в состоянии показать в рабочем состоянии.
И под каждый из "функционала" - питон для разработки, что примерно равносильно по времени запуска на "любом традиционном siem"
При том что нормального функционала ровно нужного в siem - хотя бы те же активы + управляемая корреляция + работа с исключениями + категоризация с нормализацией по источникам и уход от анализа непосредственно логов - почему-то напрочь игнорируются.
Ну и судя по картинке minimal false positive при weeks time to value и for everyone - где-то появилась очередная магия, которая спасет мир? :)
- функционал реагирования, который жутко ограничен и любой SOAR дает возможностей в разы больше
- поведенческие и аномальные движки, которые опять же ни один вендор кроме как на сферической тестовой инфраструктуре не в состоянии показать в рабочем состоянии.
И под каждый из "функционала" - питон для разработки, что примерно равносильно по времени запуска на "любом традиционном siem"
При том что нормального функционала ровно нужного в siem - хотя бы те же активы + управляемая корреляция + работа с исключениями + категоризация с нормализацией по источникам и уход от анализа непосредственно логов - почему-то напрочь игнорируются.
Ну и судя по картинке minimal false positive при weeks time to value и for everyone - где-то появилась очередная магия, которая спасет мир? :)
RI
Их не меньше пяти было, емнип
12
Оно есть если хорошо поискать 🙂
K
NF-чего-то там?
$
Чаще всего “ng” это про маркетинг
RI
Ну всё, тяжеловесы подтянулись, сейчас advocatus diaboli будет посрамлён и бежит ;)))))
$
Ну технологии шагнули. Легаси не всегда удаётся перекатить в «ногу с технологиями»
Так что вполне могут быть новые более быстрые и тд введения
Так что вполне могут быть новые более быстрые и тд введения
RI
Израильский?
K
Я соглашусь с тезисом «у нас стало больше процессорной мощи и мы можем сделать длиннее окно корреляций», это правда круто, без шуток. Я не знаю, случился ли из-за этого качественный переход, хочу послушать.
Ну, а unlimited scalability - это точно булшит. :)
Ну, а unlimited scalability - это точно булшит. :)
K
Забыл. (( До 2008, потом перестали OEMить, вроде.
RI
AB
Нужно классифицировать сиемы по количеству вложенных в разработку фантиков. Например, Арксайт в свое время получил их от in-q-tel одной известной конторы с безграничным бюджетом.
AB
MARS ?
RI
Нет, MARS был честно куплен.