bc
ELK наш сием
Size: a a a
2018 September 21
AA
И как? Получилось из него что-то годное сделать?
AA
Корреляция эвентов там, все дела
bc
Учитывая, что я не фанат сиемов от слова совсем, мне для моих задач хватает
AA
А какие события вы в него отправляете?
bc
Где есть возможность ставится filebeat стоковый и auditbeat тоже стоковый. Правила аудита на самом боксе списаны со STIG частично
bc
где стоит fluent, там парсится auth.log и syslog
bc
раньше также собирал audit.log, но так и не родил к нему нормального парсера и забил
AA
А IDS-и никакой нету?
bc
нет. Опенсоурс - говно, а на коммерческие денег не дают
bc
да и ids это сейчас тоже не панацея
bc
нужны EDR
bc
типа Google Rapid Response.
bc
Но это тоже палка о двух концах. Если его ломанут, то это One ring to rule them all
AA
нет. Опенсоурс - говно, а на коммерческие денег не дают
Ты точно про IDS? Вроде они все опенсорсные snort, surricata, bro.
bc
Поскольку у нас все в облаке, то нам Network IDS как пятое колесо. Хер ли смотреть на шифрованный трафик =)
AA
Про EDR ничего не слышал
bc
А вот host based - это незаслуженно обойденная тема
bc
Про EDR ничего не слышал
Это всякие там CarbonBalck, SentinelOne. По сути, админская закладка в каждый бокс