NA
Прямой перевод не верен. Опять таки из-за того, что не учитывается сжатие и размеры создаваемых индексов. Перевод места на диске в размер события можно делать только через вендорскй калькулятор.
Size: a a a
2021 September 03
NA
Ну и да, как писал Рома, теперь для МП СИЕМ мои циферки не верны. Этого я не знал.
ИК
У нас при потоке 90к-100к eps выходит около 15-16 TB данных в сутки.
ИК
Самыми тяжелыми, логично, выходит сеть и DNS
NA
А сколько всего полей в схеме и сколько индексируется?
RS
не, у нас 7.9 пока
но начиная с 7.10 всё иначе
но начиная с 7.10 всё иначе
RS
оценки среднего размера тоже интересны
но надо понимать что в тот момент, когда вы начинаете собирать и разбирать powershell, всё может резко поменяться )
и это лишь один пример
но надо понимать что в тот момент, когда вы начинаете собирать и разбирать powershell, всё может резко поменяться )
и это лишь один пример
ИК
)) В некоторых случаях доходит до 2000.
NA
Тогда ясно откуда такой объем индекса )
ИК
Ну это скорее исключение, чем правило
ИК
Наиболее флудящие не очень большие и стандартизированы
ИК
За основу берем ecs, далее свой стандарт разметки полей..
B
а есть компании, которые вообще весь свой трафик пишут )
NA
Телеком-провайдеры?
NA
По закону Яровой пишут )
K
Некоторые пишут в кольцевой буфер, да.
AL
А некоторые просто Netflow анализируют, не заморачиваясь с записью всего сырого трафика, затребуя его только для некоторых сессий
K
Одно другому не мешает. )
AL
Ну если денег на хранилище дофига, то да
K
Слушайте, пятница, задам вопрос. Вот интервьюировал сейчас кандидата. CCNA, год аналитиком второго уровня в SOC. Не смог ответить, какая IDS у них была и как в TCP обеспечивается надежность доставки пакетов. Попросить рассказать по pcap файлу, что тут случилось и погрепать логи я постеснялся.
Может, я что-то не то спрашиваю? Какие вы вопросы аналитикам задаёте?
Может, я что-то не то спрашиваю? Какие вы вопросы аналитикам задаёте?