A
Ruslan Ivanov
Анализ телеметрии (скажу сразу, я не знаю, про что рассказызывал Владимир - готовлю свою презентацию и воркшоп на завтра)
Во сколько?
Size: a a a
2019 November 19
RI
ids делает в "прямом эфире", nta - ретроспективные анализ, если не ошибаюсь
Нет, NTA тоже может делать практически в "реальном времени"
RI
Sergey Soldatov
Привет все! Ну, как там на SOC-форуме? Идти стоит?
Как всегда, всё решают кулуары 😉
AV
на стенде ПТ сейчас можно еще вопросы позадавать про NTA и посмотреть как что и куда
АШ
Ruslan Ivanov
Нет, NTA тоже может делать практически в "реальном времени"
он может делать "практически" в реальном времени, я указал на то, что NTA в отличии от ids еще и в прошлое может с помощью нововведеных флагов компрометации или правил детектирования.
П
на стенде ПТ сейчас можно еще вопросы позадавать про NTA и посмотреть как что и куда
А до скольки по времени будете показывать?
П
В перерыв?
AV
А до скольки по времени будете показывать?
там сейчас прям демо идет, но потом ребята смогут показать и на вопросы поотвечать
AV
@vbengin не бань меня, это не реклама!
RI
А если ids начнет хранить трафик, он станет nta?
А если у кита вырастут уши и хобот, он станет слоном? Если серьёзно - это вообще ортогональные технологии. IDS ищет известные ему шаблоны вредоносного воздействия (сигнатуры), NTA, помимо этого, умеет ещё показывать аномалии. При этом NTA является системой объективного анализа, так как собирает телеметрию, равносильную биллинговой (если всё правильно спроектировано и собирается).
SS
Ruslan Ivanov
Как всегда, всё решают кулуары 😉
Завтра доберусь
RI
Kirill Nazarov
А в чем проблема детектирования внутри сети ids'ом?
Цена.
П
Ruslan Ivanov
А если у кита вырастут уши и хобот, он станет слоном? Если серьёзно - это вообще ортогональные технологии. IDS ищет известные ему шаблоны вредоносного воздействия (сигнатуры), NTA, помимо этого, умеет ещё показывать аномалии. При этом NTA является системой объективного анализа, так как собирает телеметрию, равносильную биллинговой (если всё правильно спроектировано и собирается).
Если серьезно, то все уже понятно, спасибо
П
Демо стенд по удалёнке бы
RI
Если одной лопатой копать метровые ямы, а другой двухметровые, иметь возможность потом их засыпать и выкопать еще 1 яму, все равно имеем 2 лопаты, а не лопату и экскаватор 3000. Не вижу критерия четкого разделения нта и идс, в отличие, например, от сием и лм
И тем не менее, она значительная.
RI
Во сколько?
Руслан Иванов, специалист по ИБ Cisco Systems
Типовые use case банковского SOC. Что вы должны мониторить обязательно?
15:20
15:40
Типовые use case банковского SOC. Что вы должны мониторить обязательно?
15:20
15:40
A
Значительная, но четкой градации пока, если только по доступу на хантинг последующий
RI
Воркшоп с 13:00 – 14:20, но надо регистрироваться на него, там не так много мест, Лёш. - http://cisco.cvent.com/d/0hq2l0/4W
A
Но это любая писалка pcap +/-
N
В перерыв?
Сейчас демо заканчивается, но можем над и индивидуально показать