Size: a a a

2018 October 02

v

vbengin in MaxPatrol SIEM
Michael
Как бы это начинает пугать. Изменения форматов с одной стороны, а с другой Хотим подключиться.
Почта России рулит? Один из каналов передачи. ))
Не в нашим силах здесь что то изменить . Наверно некоторые из нас могут помочь активной обратной связью
источник

v

vbengin in MaxPatrol SIEM
Michael
Эээээ.... Только в 19.0 вы написали инсталлятор? )))
Не понял
источник

M

Michael in MaxPatrol SIEM
Попросят, и ещё как ))
Это же отражено в регламенте. Или как он называется
источник

M

Michael in MaxPatrol SIEM
vbengin
Не понял
До этого установка осуществлялась в стиле запусти, поправь конфиг и т.д. дока по установке 18.0 для распределенных систем.
источник

M

Michael in MaxPatrol SIEM
Гибко, делай, что хочешь. Кластер не кластер. Проблема во множестве конфигов и настроек. И их согласованности.
источник

M

Michael in MaxPatrol SIEM
Требования для госсопки превышают возможности заказчика.
Из серии "а давайте дампить весь трафик". Со всеми вытекающими.
Ясно, что когда делаешь анализ событий думаешь, что было бы не плохо.... Но это из серии "знал бы прикуп жил бы в Сочи"
источник

e

e6e6e in MaxPatrol SIEM
Michael
Гибко, делай, что хочешь. Кластер не кластер. Проблема во множестве конфигов и настроек. И их согласованности.
Как показывает моя практика - установить и первично настроить любую систему СИЕМ (в том числе и MP SIEM) это не самая сложная задача. Куда важнее, что после того, как от этого процесса отключается адекватный интегратор/вендор, КПД СИЕМ падает в разы сразу же и деградирует с течением времени.
И зачастую проблема не в продукте, а в "пользователях".
источник

v

vbengin in MaxPatrol SIEM
А это да. Согласен. Но мы честно говорим как минимум  не скрывая. :) И есть ещё пару вещей.
1. Siem очень требователен с точки зрения рынка. Открываем конкурсные документы и видим там 100 страниц требований включая резервирование и ещё какую нибудь важную УЕБУ. И тебе (если ты вендор) просто необходимо сделать так чтоб продукт это умел. И не важно что скорее всего это никому не нужно будет и что из-за этого тот же инсталлятор будет Овер квалифай.

2. Давайте будем честны. Внедрение siem в 90% делает партнёр за сумму  с шестью нулями. И наверно странно если этот  партнёр начинает говорить что почему у него система не ставиться как обновление яблока? Все таки за такие деньги можно и в консоль поступить и  с вендором пообщаться.
Да мы пытаемся спрыгнуть с этого чтоб как минимум партнеру было приятнее с нами работать, но исходно ведь вот так.
источник

v

vbengin in MaxPatrol SIEM
Michael
Гибко, делай, что хочешь. Кластер не кластер. Проблема во множестве конфигов и настроек. И их согласованности.
Выше Ответ на это.
источник

M

Michael in MaxPatrol SIEM
Вот именно, что кто в лес и по дрова, что происходит может сказать только человек который ставил. Даже не интегратор. А документация ему дарует долю фантазии.
источник

EA

Emil Altynbaev in MaxPatrol SIEM
vbengin
А это да. Согласен. Но мы честно говорим как минимум  не скрывая. :) И есть ещё пару вещей.
1. Siem очень требователен с точки зрения рынка. Открываем конкурсные документы и видим там 100 страниц требований включая резервирование и ещё какую нибудь важную УЕБУ. И тебе (если ты вендор) просто необходимо сделать так чтоб продукт это умел. И не важно что скорее всего это никому не нужно будет и что из-за этого тот же инсталлятор будет Овер квалифай.

2. Давайте будем честны. Внедрение siem в 90% делает партнёр за сумму  с шестью нулями. И наверно странно если этот  партнёр начинает говорить что почему у него система не ставиться как обновление яблока? Все таки за такие деньги можно и в консоль поступить и  с вендором пообщаться.
Да мы пытаемся спрыгнуть с этого чтоб как минимум партнеру было приятнее с нами работать, но исходно ведь вот так.
Не соглашусь: лучше делать что-то одно, но качественно, чем кучу всего, но посредственно
источник

M

Michael in MaxPatrol SIEM
Я как бы это описал на примере при переходе с 18 на 19 версию. И при миграции эластика с одно узловой конфигурации.
источник

M

Michael in MaxPatrol SIEM
Если взять qradar, то там тупо переписываются все конфиги. Пользовательские настройки имеют строго определенное место.
источник

RS

Roman Sergeev in MaxPatrol SIEM
Осталось выбрать то самое одно)))
источник

EA

Emil Altynbaev in MaxPatrol SIEM
Roman Sergeev
Осталось выбрать то самое одно)))
Так определитесь уже😂
источник

M

Michael in MaxPatrol SIEM
Интеграцию за сумму с каким-то нулями не видел. Видел как ставили перед фактом - должен работать.
источник

RS

Roman Sergeev in MaxPatrol SIEM
Я спросил себя, не сходить ли к психиатру - мнения разделились
Это про будни продуктового планирования
источник

M

Michael in MaxPatrol SIEM
Наши коммерсанты стараются обходить стороной данный вопрос, так как больше вопросов чем ответов.
источник

EA

Emil Altynbaev in MaxPatrol SIEM
Ребята из Positive, нужно отдать вам должное, что вы открыты для общения, это мега большое достижение, хочется верить, что это не «добровольно, принудительно» и вам действительно важно мнение сообщества.
источник

RS

Roman Sergeev in MaxPatrol SIEM
Нам важно. И мы хотим срезать часть длинной цепочки коммуникаций по стандартному пути
источник