SS
@NGKsiva , подскажи
Size: a a a
2020 December 04
HT
Разтема EDR поднялась, кто-то смотрел в edr для лялихов, серверов, но так что бы оно и в контейнеры смотрело и AWS env понимало и типа такого
Ты хочешь в событиях инфу о контейнерах/кубер подах, где оно произошло?
PK
Разтема EDR поднялась, кто-то смотрел в edr для лялихов, серверов, но так что бы оно и в контейнеры смотрело и AWS env понимало и типа такого
Aqua?
HT
Auditbeat умеет такое обогащение делать
AS
Ты хочешь в событиях инфу о контейнерах/кубер подах, где оно произошло?
Да, что б понятно было что конкретно из какого контейнера и прочее
AS
Auditbeat умеет такое обогащение делать
И что б можно было мониторинг делать и фиды прикручивать и прочий интерпрайз блю тим накручивать
AS
Без гор опенсорса и костылей
AS
Aqua?
Изучим вопрос, спс
AS
Auditbeat умеет такое обогащение делать
Прогуглю, конечно, спс
AS
Краудстрайк говорит вот, что умеет
HT
Картинку покажу сейчас, на этой неделе занимался вопросом
AS
Супер спс
AS
ThreatStack вот типа спецом под это дело стартап, но сырой(
HT
соответственно если бы был кубер, то в событие еще бы добавились бы поля с именем поды, ноды, namespace-а
HT
Краудстрайк говорит вот, что умеет
да вроде нет. Там просто есть события, связанные с контейнеризацие - OciContainerEngineInfo, OciContainerHeartbeat, OciContainerInfo, OciContainerStarted, OciContainerStopped, OciContainerTelemetry, OciImageHeartbeat, OciImageInfo, но они описанную задачу решить не позволят
HT
@Eik00d SentinelOne еще глянь - https://www.sentinelone.com/platform/singularity-cloud/
V
Sysmon имеет хорошее ограничение: его тяжело саппортить в масштабах энтерпрайза + он дает уйму событий
Фильтровать надо события, над с конфигом работать.
AS
Спасибо!