SZ
Мы все еще о SIEM говорим или уже про EDR?
Вроде еще о сием)
Size: a a a
2019 November 21
EO
Если хотите быть на столько честными, то риалтайм кончился уже тогда, когда событие было сформировано. Ибо процесс, которыйьоно опиисывает уже либо закончился либо уже начался
В случае с near-realtime у SIEM и батчем это тот самый нюанс из анекдота.
NA
Вроде еще о сием)
Тогда все плохо. Продавайте Ваш SIEM, распускайте отдел ))))
EO
Вы как тот дед с сок-форума, который к словам про "реальное время" прикопался)
А что делать, продавать-то надо. А кейсов нет. Вот и приходится проверенным способом работать, то есть устраивать языковые упражнения. В самом крайнем случае, когда штаны уже полнёхоньки, апеллировать к гостайне.
SZ
Я уже потерялся, тут за реалтайм или микробатчинг топить надо?))
NA
Ну хотябы начался и не закончился а это реалтайм не?
По поводу процессов и атомарных явлений я писал. Плохо ссылаться на свои же статьи, но я беспринципная тварь https://habr.com/ru/company/pt/blog/432352/
EO
По поводу процессов и атомарных явлений я писал. Плохо ссылаться на свои же статьи, но я беспринципная тварь https://habr.com/ru/company/pt/blog/432352/
А, так вы писатель
٧
Все же относительно, для оператора глядящего в SIEM и 5 секунд - реалтайм, а для робота и доля секунды может быть уже вечностью 🤷♂
EO
Так бы сразу и сказали, чего я тут перед вами распинаюсь.
RA
Если объектом наблюдения является сам процесс, то риалтайм. Если объектом являются атомарные события его начала или конца, то нет
В процессе выполнения процесса.... ммм... не важно. В общем это не моментальное действо и выполняющая Система может генерить события. И тут есть шанс успеть всё собрать и успеть что-то сделать до того как всё закончится
EO
Презентация batch SIEM:
SZ
В процессе выполнения процесса.... ммм... не важно. В общем это не моментальное действо и выполняющая Система может генерить события. И тут есть шанс успеть всё собрать и успеть что-то сделать до того как всё закончится
Так тут же полемика про реалтайм и микробатчинг. Инструменты и архитектура принципиально разная, а выхлоп для сиема от перехода на настоящий реалтайм не существенная.
NA
В процессе выполнения процесса.... ммм... не важно. В общем это не моментальное действо и выполняющая Система может генерить события. И тут есть шанс успеть всё собрать и успеть что-то сделать до того как всё закончится
Пример, когда объектом наблюдения является процесс: Алерт, если есть SSH сессия, длящаяся более 4 часов. Пример атомарного события: Установлено соединении по SSH с C2 сервером
RA
Так тут же полемика про реалтайм и микробатчинг. Инструменты и архитектура принципиально разная, а выхлоп для сиема от перехода на настоящий реалтайм не существенная.
За реалтайм и что-то близкое становится совсем обидно, когда твои попытки быстро сообщить о надвигающейся жопе разбиваются о «да мы в тот ящик раз в 3 дня заглядываем...»
EO
Так тут же полемика про реалтайм и микробатчинг. Инструменты и архитектура принципиально разная, а выхлоп для сиема от перехода на настоящий реалтайм не существенная.
Вы на основании какого проекта это утверждаете?
SZ
Вы на основании какого проекта это утверждаете?
На основании общей канвы дискуссии. За батчинг обидно! Конечно, если это батчи, как сказал Роман, в три дня это печально. Но 10 секундный батч, вполне хорошее решение для подавляющего количества задач сиема. Во всяком случае в рассчете стоимости оборудования
EO
За реалтайм и что-то близкое становится совсем обидно, когда твои попытки быстро сообщить о надвигающейся жопе разбиваются о «да мы в тот ящик раз в 3 дня заглядываем...»
Хуже когда изначально хотят «выписывать тикеты эксплуатации», вместо того чтобы реагировать оркестратором в тот же момент.
EO
На основании общей канвы дискуссии. За батчинг обидно! Конечно, если это батчи, как сказал Роман, в три дня это печально. Но 10 секундный батч, вполне хорошее решение для подавляющего количества задач сиема. Во всяком случае в рассчете стоимости оборудования
Ну то есть вы чистый теоретик, кейс показать не можете, но берётесь рассуждать, я правильно вас понял?
SZ
Ну то есть вы чистый теоретик, кейс показать не можете, но берётесь рассуждать, я правильно вас понял?
Почему же?) вот в системе обнаружен вредонос, получили вы эту информацию от антивируса. Хотите удалить автоматически. Вот зачем в этом кейсе реалтайм?