RI
Не верите, поиграйтесь с ELK на 5k с 50 правила корр, подрубленными фидами ип, домены, хэш и 20 разными источниками. Потом можем пообсуждать как оно работает и почему столько жрет
Ещё раз: это говорит лишь о том, что оптимизация неудачная.
Size: a a a
2019 November 20
NA
Коррелятор Arcsight начинает потряхивать на 12к при 50 правилах
NA
Ruslan Ivanov
Ещё раз: это говорит лишь о том, что оптимизация неудачная.
Open source, оптимизация? Не, не слышал
RI
Я уже приводил примеры молотилок на сотни тысяч-миллион eps с нескольких RU
DO
Ruslan Ivanov
Ещё раз: это говорит лишь о том, что оптимизация неудачная.
Скорее даже не оптимизация Qradar, а конкретный набор правил, сценариев и инфраструктуры
NA
Дьявол в деталях, а именно логике, которую эти молотилки обрабатывают
RI
И это тоже, Денис. Я уверен, что если оптимизировать правила корреляции, можно минимум удвоить производительность
DO
В среднем по больнице, в обычных организациях редко будут тонко тюнить правила. И если честно, это не всегда возможно
RI
Дьявол в деталях, а именно логике, которую эти молотилки обрабатывают
В дьявольской логике?
RI
NA
Руслан, как там Циско Марс поживает?
RI
В среднем по больнице, в обычных организациях редко будут тонко тюнить правила. И если честно, это не всегда возможно
Для типовых юзкейсов? Кто мешает делать предобработку?
RI
Руслан, как там Циско Марс поживает?
Все вопросы к Фортинету теперь, а что?
RI
RA
Курадару как раз на 5k :)
просто нужно уметь его готовить =)
RI
просто нужно уметь его готовить =)
Я тебя ждал, бро
NA
Да нет, ничего. Я просто часто сталкиваюсь с мнением что на калькуляторе можно 100к обрабатывать. Но, пока что-то никто не показал как это в жизни работает.
DO
просто нужно уметь его готовить =)
Да я не спорю. :)
NA
Умея готовить любое решение можно правильно выкручивать ручки. Но ручки крутить можно не до бесконечности. У вас всегда есть потолок по архитектуре продукта (я про архитектуру в коде). Я не видел решений на 100к епс на сервер, которые выполняли сколь нибудь сложные правила.