RS
Esper же у кого-то из российских сиемов внутри
Size: a a a
2020 August 31
HT
А знает кто-нибудь какое-то бесплатное решение, на котором можно сделать сложную корреляцию, но которое не требует штата скалистов или явистов?
SS
Esper же у кого-то из российских сиемов внутри
RSA Net Whiteness?
HT
Sergey Soldatov
RSA Net Whiteness?
А когда RSA стал российским?)
NA
А знает кто-нибудь какое-то бесплатное решение, на котором можно сделать сложную корреляцию, но которое не требует штата скалистов или явистов?
Что значит "сложная" корреляция? Для некоторых "сложная" начинается с записи и чтения в/из внешнего списка.
RS
Sergey Soldatov
RSA Net Whiteness?
HT
Что значит "сложная" корреляция? Для некоторых "сложная" начинается с записи и чтения в/из внешнего списка.
Цепочки событий
٧
Года полтора назад собирал презу по поводу из каких палок можно собирать разные части SIEM. Вписывал только то, с чем сам разбирался. Преза обзорная, сделать прям разбор всех технологий руки не дошли )
А до оценки TCO не дошло?
NA
WSO2, Spark при SparkSQL не требуют )))
SS
А знает кто-нибудь какое-то бесплатное решение, на котором можно сделать сложную корреляцию, но которое не требует штата скалистов или явистов?
Ну ты же все сам знаешь: хочешь опенсорс - имей толковую команду, кто сможет его готовить. А некому готовить, - бери с полки. Закон сохранения не обойти: https://reply-to-all.blogspot.com/2012/04/blog-post_19.html
NA
А до оценки TCO не дошло?
Такая задача не стояла )
RI
А знает кто-нибудь какое-то бесплатное решение, на котором можно сделать сложную корреляцию, но которое не требует штата скалистов или явистов?
bash, sed, awk, grep
RI
Что значит "сложная" корреляция? Для некоторых "сложная" начинается с записи и чтения в/из внешнего списка.
Вот +1
RI
Цепочки событий
Цепочки или небинарные деревья? Цепочка-то как раз несложно
NA
Да, важно что внутри цепочки... регулярки, проверка вхождения в подсеть. Мат. операции и т.д.
NA
В цепочках сложного только то, каково расстояние по времени между событиями в этой цепочки.
SS
А вы его пробовали в бою использовать?
Да, конечно, продуктовая команда его испытывала. Там все хорошо
RI
Sergey Soldatov
Ну ты же все сам знаешь: хочешь опенсорс - имей толковую команду, кто сможет его готовить. А некому готовить, - бери с полки. Закон сохранения не обойти: https://reply-to-all.blogspot.com/2012/04/blog-post_19.html
Сергей, как всегда, прав на все 100. Есть ещё один нюанс, про который часто умалчивают - далеко не всегда open-source выходит из недр facebook или google, и учитывает вопросы горизонтального и вертикального масштабирования
SS
Google и Facebook - разработчики, им не проблема приготовить любой опенсорс, как и Яндексу или ЛК. Я так понял, речь об интерпрайзе
RI
Да и выходя из того же Яндекса, обычно решает частную задачу гиганта, и не факт, что ограничения, которые приемлемы там, не окажутсяфатальными на вашей задаче