RI
Во-вторых - частота сбора. Можно так задрочить коробку, пардон, что всё отъедет в страну вечной охоты.
Size: a a a
2019 July 31
RI
Любой профиль/baseline надо построить. Это время. Что в SIEM, что в NTA. При построенном профиле задача сводится к простому поиску вхрждения.
Там всё сложнее и комплекснее. У нас, например, анализируется под полторы сотни параметров, по довольно сложным мат. моделям
NA
Ruslan Ivanov
Там всё сложнее и комплекснее. У нас, например, анализируется под полторы сотни параметров, по довольно сложным мат. моделям
Ясно что сложнее... и времязатратнее
NA
Давайте еще раз. NTA - да, дорого, прикольно, полезно. НО для этого лучше дорасти. На базовом уровне можно задачу решить и в siem
RI
Ясно что сложнее... и времязатратнее
Да нет. Там обычная статистика встречается с магией прогнозных моделей. Кстати, GAN для этого подходит не очень.
RI
Нельзя.
RI
Ещё раз:
RI
SIEM ловит то, что в него запрограммировали (use-case'ами ли, корреляциями, поданными логами с набора источников)
RI
NTA показывает то, что есть на самом деле (если угодно - система объективного контроля)
NA
Маркетинг
RI
Если хочется аналогий - SIEM это удочка или спиннинг, на специфическую рыбу, которую вы собрались ловить
NA
Т-табличные списки, Н-накопление статистики, З-закрытие профиля, Д-детект отклонения от профиля
RI
А NTA (если грамотно сделан) - это типа мембранного фильтра для воды
NA
Это базовая штука, работат много у кого
RI
Николай, ну попробуйте, если это так просто.
RI
Ну вот дальше базовой штуки почему-то ушли единицы
NA
Уже и не один раз )
RI
Когда начнёте с ней работать (с базовыми линиями поведения) поймёте, что простота обманчива
NA
А Вы сами пробовали сделать эту конструкцию в SIEM?
RI
Либо требует постоянной донастройки, сопоставимой по сложности с тюнингом IPS, при этом надо знать в совершенстве, что из себя представляет объект защиты.