$
Только там где «итак других средств полно, зачем покупать что-то ещё»
Size: a a a
2019 July 31
A
А КАКЖЫ ИМПОРТОЗАМЕЩЕНИ???
RI
Очень интересно, как без NTA анализировать сеть на аномалии.
NA
Ruslan Ivanov
Очень интересно, как без NTA анализировать сеть на аномалии.
Базовые профили сетевого поведения и так уже строят все кому не лень в siem
A
Ruslan Ivanov
Очень интересно, как без NTA анализировать сеть на аномалии.
"А внутри у его ... НЕЙРОНКА!"
RI
Базовые профили сетевого поведения и так уже строят все кому не лень в siem
Есть два но: хранение всего этого добра несколько отличается с точки зрения оптимизации хранения в SIEM, и глубина хранения - подход иной
RI
Ну и базовый профиль поведения - такое. Пожар он вам, конечно, покажет, но есть подозрение, что к этому моменту вы уже будете в курсе.
NA
Ruslan Ivanov
Есть два но: хранение всего этого добра несколько отличается с точки зрения оптимизации хранения в SIEM, и глубина хранения - подход иной
Это верно, я и писал, что "базовые" профили легко делать в siem.
RI
Alexey
"А внутри у его ... НЕЙРОНКА!"
Неонка, магистр. И думатель. Да. Решатель ещё есть, но это за отдельные деньги.
RI
A
RI
RI
NA
Ruslan Ivanov
Ну и базовый профиль поведения - такое. Пожар он вам, конечно, покажет, но есть подозрение, что к этому моменту вы уже будете в курсе.
С NTA время реакции прям realtime уже?
RI
Скорость обработки зависит от типа аномалии, частоты сбора телеметрии, скорости её обработки коллектором. Если упороться, реально сделать в пределах пары сотен миллисекунд, я думаю.
RI
Но.
RI
Ценник вас не то чтобы удивит. Скорее ошеломит.
NA
Любой профиль/baseline надо построить. Это время. Что в SIEM, что в NTA. При построенном профиле задача сводится к простому поиску вхрждения.
NA
Это еще я про сезонность в данных не вспоминал
RI
И проблема не в NTA, а в том, что собирает Netflow/IPFIX тот же. Во-первых, собираться должно в несемплированном виде (ну как-то бессмысленно искать тысячи больных гриппом на основе выборочного анализа каждого сотого, допустим)