Size: a a a

DevSecOps - русскоговорящее сообщество

2018 September 21

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
можно массово по хостам искать всякие следы всяких нехороших вещей, память дампить + оно следит за всякими подозрительными операциями и процессами
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
это мне osquery напоминает
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
да, что-то вроде. Только EDR - это вообще комбайн
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
интересно
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Можете попробовать LimaCharlie.io
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Раньше была опенсорсом, но теперь только Cloud. Она для 2 хостов бесплатная, для тестов хвтит
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
И цена за коммерческую версию гуманна по сравнению с остальными
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
т.е. получается я левым чувакам полный контрль над всей своей системой даю?
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
там какой-то агент ставится?
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Да, агент. Она не такая инвазивная как GRR. и вот так запросто ей нельзя скомандовать rm -rf
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
все данные что собирает агент пишутся в ВАШ бакет. и обрабатываются соответственно там же
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Думаю, если вы попросите, то парни вам и VPC сделают
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Ну или GRR. Руткит в каждый дом =) но там никаких гарантий.
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
А вы, получается, этим пока не пользоуетесь, судя по тому что у вас ELK есть?
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
эта штука умеет же аудитлоги анализировать и всё такое?
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Увы, никто не повелся пока на мои рассказы о космических кораблях бороздящих просторы ДывОпса
источник

С

Сергей in DevSecOps - русскоговорящее сообщество
ELK - это движок полнотекстового поиска, корреляции там нет, и язык запросов слабо подходит для этого
источник

С

Сергей in DevSecOps - русскоговорящее сообщество
В плане корреляции для небольших инфраструктур лучше посмотреть на splunk
источник

С

Сергей in DevSecOps - русскоговорящее сообщество
EDR это какой-то продукт? Как расшифровывается?
источник

K

Kirill in DevSecOps - русскоговорящее сообщество
Сергей
ELK - это движок полнотекстового поиска, корреляции там нет, и язык запросов слабо подходит для этого
Elastic наверное все же
источник