Z
Size: a a a
2019 June 04
Z
жесть какая то
P
жесть какая то
блин.
Понятно теперь почему некоторые товарищи меня про русием в феврале пытали...
Понятно теперь почему некоторые товарищи меня про русием в феврале пытали...
PK
Мдаааа
RI
А теперь без рекламы. Нет распределенного поиска по событиям, хранящимся на разных площадках. Это компенсируется общим SSO и прозрачным проваливанием в каждый MP
Т.е. я правильно понимаю, что корреляция работает только по явно заданным вопросам, нет обогащения снизу вверх?
NA
Не профильный это чатик для таких вопросов. Корреляция и обогащение работает на всех уровнях. Если Вы пересылаете события с нижнего уровня, то на верхнем их можно еще раз обогатить и скоррелировать (к примеру ловить атаки в рамках всей компании в целом)
$
Не профильный это чатик для таких вопросов. Корреляция и обогащение работает на всех уровнях. Если Вы пересылаете события с нижнего уровня, то на верхнем их можно еще раз обогатить и скоррелировать (к примеру ловить атаки в рамках всей компании в целом)
Да с чего не профильный?
NA
Он, вроде как, не про фичи MP SIEM. Для этого есть другой чат.
AP
Да с чего не профильный?
Ну профильный вот https://t.me/MPSIEMChat
RI
В MP SIEM это сделано через отправку событий, попавших под нужный фильтр в корневой SIEM или любой другой MP SIEM. Глубина иерархии может быть любая, конфигурируется через UI. Такой подход позволяет еще делать доп. корреляцию и обогащение событий в центре.
Как это бьётся с фразой про фильтр? Или можно направлять наверх всё, в надежде что в центре железка сможет обработать?
$
Он, вроде как, не про фичи MP SIEM. Для этого есть другой чат.
А MP SIEM теперь не относится к “SOC Технологиям»?
RI
Согласен, это довольно типовая боль в масштабировании сбора журналов/корреляции событий
NA
Ruslan Ivanov
Как это бьётся с фразой про фильтр? Или можно направлять наверх всё, в надежде что в центре железка сможет обработать?
нижний уровень: собрали, нормализовали, обогатили, скоррелировали, сохранили, сделали фильтр того, что надо отправлять на верх. верхний уровень: получили, обогатили, скоррелировали, сохранили.
NA
да, за производительностью придется следить самим. Есть встроенный Health Monitor + шаблоны для забигса + коллеги из комьюнити телеграф подключали
RI
Ответ понятен. Это не то, о чём спрашивал Алексей Викторович.
NA
если что-то не смогло уйти, есть контрольные точки, с которых передача будет продолжена
NA
Ну как понял, так и ответил, т.к. пояснения про "фабрику" не было
RI
Алексей имел в виду несколько другую конструкцию, как я понял - когда вышестоящая нода умеет делать поиск/корреляцию в нижележащих, т.е. по сути использует их удалённое хранилище событий как подключенный remote storage
RI
Это позволяет избавиться от ряда проблем с неконсистентностью событий с форвадингом наверх по фильтру
RI
Если смотреть на ELK - это кластер Elastiс по сути, воспринимаемый при запросе как единое целое. Алексей я правильно твой вопрос понял?