IS
😁вопрос здравого смысла тут не стоит😔
Size: a a a
2019 April 25
NA
хотелось бы более развернутый ответ, что-то типа: Нужен мониторинг именно через SIEM, потому, что ...
IS
Все что могу)
KM
гладиолус!
KM
Извините, просилось)
NA
Не хочется связываться с подразделением ИТ, я сам ИТ - тоже ответ 😊
IS
Мониторинг в итоге сработал, правда на другом хосте) и почему то если в цели задачи указать fqdn вообще не работает, с ip работает
c
хотелось бы более развернутый ответ, что-то типа: Нужен мониторинг именно через SIEM, потому, что ...
Ну тут же очевидно, что мониторинг испозуют подразделения ИТ. И они часто не горят желаением давать туда доступ безопасникам.
Безопасникам удобнее будет когда все в одной системе. Зачем им ходить отдельно в мониторинг, чтобы смотреть то, что есть и здесь
Безопасникам удобнее будет когда все в одной системе. Зачем им ходить отдельно в мониторинг, чтобы смотреть то, что есть и здесь
c
Да и мониторинга в теории вообще может не быть
NA
Спасибо! Как и ожидалось, решение орг. проблем специфическими средствами.
NA
Кроме последнего пункта :)
c
Спасибо! Как и ожидалось, решение орг. проблем специфическими средствами.
Ну это чисто мое мнение, сам я таким не занимаюсь. Один заказчик просил сделать, я сделал. Дальше только в тестовых целях делал )
АГ
Не хочется связываться с подразделением ИТ, я сам ИТ - тоже ответ 😊
Как по мне "принцип одного окна" тоже вполне себе весомый вариант. Если человек работает постоянно в СИЕМ, то ему удобнее в нем и получать события о недоступности того или иного источника...
RS
по доступности источников есть специализированная функциональность
NA
Александр Гаврилов
Как по мне "принцип одного окна" тоже вполне себе весомый вариант. Если человек работает постоянно в СИЕМ, то ему удобнее в нем и получать события о недоступности того или иного источника...
Ок, а не проще ли отправлять алерты из забикса в SIEM?
NA
и ИТ при деле, и безопасность в курсе
NA
Тему поднял просто потому, что искренне непонимаю, зачем микроскопом забивать гвозди (или наоборот). Ну и пытаться решить орг. вопросы тех. средсвами )
NA
И, да, пороговый случай: взаимное недоверия ИТ и ИБ, я не расматриваю (тут все ясно)
m
по доступности источников есть специализированная функциональность
- мониторить может потребоваться не только источники, но и просто хосты
- может потребоваться детектить пропадание доступа до источника даже при отсутствии событий с него. Пропадание доступа на 5 мин - плохо, месяц нет событий -норм)
- может потребоваться детектить пропадание доступа до источника даже при отсутствии событий с него. Пропадание доступа на 5 мин - плохо, месяц нет событий -норм)
NA
max
- мониторить может потребоваться не только источники, но и просто хосты
- может потребоваться детектить пропадание доступа до источника даже при отсутствии событий с него. Пропадание доступа на 5 мин - плохо, месяц нет событий -норм)
- может потребоваться детектить пропадание доступа до источника даже при отсутствии событий с него. Пропадание доступа на 5 мин - плохо, месяц нет событий -норм)
писал выше забикс -> алерты -> SIEM