bc
можно массово по хостам искать всякие следы всяких нехороших вещей, память дампить + оно следит за всякими подозрительными операциями и процессами
Size: a a a
2018 September 21
AA
это мне osquery напоминает
bc
да, что-то вроде. Только EDR - это вообще комбайн
AA
интересно
bc
Можете попробовать LimaCharlie.io
bc
Раньше была опенсорсом, но теперь только Cloud. Она для 2 хостов бесплатная, для тестов хвтит
bc
И цена за коммерческую версию гуманна по сравнению с остальными
AA
т.е. получается я левым чувакам полный контрль над всей своей системой даю?
AA
там какой-то агент ставится?
bc
Да, агент. Она не такая инвазивная как GRR. и вот так запросто ей нельзя скомандовать rm -rf
bc
все данные что собирает агент пишутся в ВАШ бакет. и обрабатываются соответственно там же
bc
Думаю, если вы попросите, то парни вам и VPC сделают
bc
Ну или GRR. Руткит в каждый дом =) но там никаких гарантий.
AA
А вы, получается, этим пока не пользоуетесь, судя по тому что у вас ELK есть?
AA
эта штука умеет же аудитлоги анализировать и всё такое?
bc
Увы, никто не повелся пока на мои рассказы о космических кораблях бороздящих просторы ДывОпса
С
ELK - это движок полнотекстового поиска, корреляции там нет, и язык запросов слабо подходит для этого
С
В плане корреляции для небольших инфраструктур лучше посмотреть на splunk
С
EDR это какой-то продукт? Как расшифровывается?
K
ELK - это движок полнотекстового поиска, корреляции там нет, и язык запросов слабо подходит для этого
Elastic наверное все же