NA
50% - тоже вариант ответа )
Size: a a a
2019 August 01
AL
Ну если бы спросили меня, что им купить, я бы посоветовал точно не SIEM. Может какое-нибудь рещение по защите почты или вообще awareness заняться. SIEM нужно уметь готовить - из коробки он не работает. Особенно когда ему отдавать данные неоткуда.
NA
Т.о. от вопросов EDR NTA и SIEM их отделяет не один чемодан бюджетов
A
Какой чемодан? Стойка с ката-кедр? На волне хайпа и рисков санкций?
AL
Т.о. от вопросов EDR NTA и SIEM их отделяет не один чемодан бюджетов
Правильно. Но выбирая между EDR/NTA и SIEM, я бы приоритет отдал первым, а не второму
NA
Alexey Lukatsky
Правильно. Но выбирая между EDR/NTA и SIEM, я бы приоритет отдал первым, а не второму
Это экспертное мнение или мнение сотрудника Cisco?
A
EDR/NTA хотя бы заработают в обозримом сроке и понятном.
AL
Экспертное. Но именно при таком выборе. Если бы вопрос стоял так: SIEM или что-то иное, то я бы EDR/NTA тоже бы не поставил на первое место в этом "что-то иное". Есть более простые и более дешевые меры, с которых надо начинать ИБ в компаниях
NA
Ок, тогда точка зрения ясна. СПАСИБО!
$
Заменить все SIEM-ом - не было посылом. Я лишь о том, что крайне желательно завести в SIEM те источники, которые отвечают за детекты на уровне сети, межпроцессных и файловых взаимодействий, а также анализа поведения объектов защиты
И заплатить за дикое и по большей части бесполезное увеличение eps (это даже хранение не рассматриваем)
$
Уверены что у большинства компаний есть бюджет на NTA + EDR в пределах ближайших 2-х лет?
Бюджет на едр может быть выкружен за счёт антивирусов и снижения епс в сием
A
Бюджет на едр может быть выкружен за счёт антивирусов и снижения епс в сием
И снижения ФОТ
$
$
А что вы из перечисленного в сиеме-то делаете?)
М
access/rights monitoring можно сделать в сием, например хождение по шарам или попытку доступа на файловом сервере в папку куда доступа нет
$
access/rights monitoring можно сделать в сием, например хождение по шарам или попытку доступа на файловом сервере в папку куда доступа нет
И что это даёт?
$
За это я тебя и люблю)
A
access/rights monitoring можно сделать в сием, например хождение по шарам или попытку доступа на файловом сервере в папку куда доступа нет
Для этого достаточно логменеджмента
М
Alexey
Для этого достаточно логменеджмента
ага и логменеджмент вам алертить будет? )
$
Хуже. В глобальном плане это даёт мираж на тему того, что вы что-то видите