DP
Пацаны, вы вообще когда-либо рилтаймовую корреляцию-то видали? Или только слышали от старшаков, как про «красную плёнку»?
Нет, чат же вообще не про это. Мы тут в основном вендоров ругаем
Size: a a a
2019 November 21
EO
Нет, чат же вообще не про это. Мы тут в основном вендоров ругаем
Это ирония, понимаю. Нет ли в этом гостайны?
VG
В арксайте
В арксайте realtime обеспечивается следующим образом. Коннектор отправляет события: либо первая пачка из 100 событий, либо каждые 5 секунд. Что первое наступит, то и прилетит в esm. Но эти параметры можно править.
VG
Так что теоретически можно сказать что realtime не существует. Тем более на splunk😁
Д
Илью походу таксист укусил
VG
Так что теоретически можно сказать что realtime не существует. Тем более на splunk😁
Realtime'овости больше в tailf и grep
NA
Ага! Старый холивар про риалтайм всплыл!
RA
Так что теоретически можно сказать что realtime не существует. Тем более на splunk😁
Её точно не существует, тк чтобы что-то скоррелировать тебе нужно это что-то накопить) хошь не хошь, а некий временной интервал появляется. Вот выдать вердикт по тому что накопилось по срабатыванию пачки правил - вот тут «почти реалтайм» важен.
А когда раз в сколько-то делается сёрч и в его результатах потом происходит ковыряние типа правилами.... ну такое....
А когда раз в сколько-то делается сёрч и в его результатах потом происходит ковыряние типа правилами.... ну такое....
MZ
@Gordejvv прям дежавю
NA
Для каждого типа задачи свой инструмент. Где -то нужен нир-риалтайм, где-то батчевая обработка.
VG
Max Zavin
@Gordejvv прям дежавю
Это фирменная заготовка для рабочего холивара и чатиков))
RA
Это фирменная заготовка для рабочего холивара и чатиков))
Как эпол vs андроид
EO
Для каждого типа задачи свой инструмент. Где -то нужен нир-риалтайм, где-то батчевая обработка.
Только не надо тогда батч продавать как SIEM людям, это форензика, а не SIEM.
SZ
Что-то мне подсказывает, что если событие попало в сием, то паровоз риалтайма уже ушел =)
NA
Что-то мне подсказывает, что если событие попало в сием, то паровоз риалтайма уже ушел =)
Если хотите быть на столько честными, то риалтайм кончился уже тогда, когда событие было сформировано. Ибо процесс, которыйьоно опиисывает уже либо закончился либо уже начался
SZ
Если хотите быть на столько честными, то риалтайм кончился уже тогда, когда событие было сформировано. Ибо процесс, которыйьоно опиисывает уже либо закончился либо уже начался
О том и речь, когда событие летит в сием, риалтаймить уже нечего. Если только не хочется выжать денег с заказчика маркетинговых булщитом
Z
Если хотите быть на столько честными, то риалтайм кончился уже тогда, когда событие было сформировано. Ибо процесс, которыйьоно опиисывает уже либо закончился либо уже начался
Ну хотябы начался и не закончился а это реалтайм не?
NA
О том и речь, когда событие летит в сием, риалтаймить уже нечего. Если только не хочется выжать денег с заказчика маркетинговых булщитом
Мы все еще о SIEM говорим или уже про EDR?
٧
Вы как тот дед с сок-форума, который к словам про "реальное время" прикопался)
NA
Ну хотябы начался и не закончился а это реалтайм не?
Если объектом наблюдения является сам процесс, то риалтайм. Если объектом являются атомарные события его начала или конца, то нет