DP
Хуже когда изначально хотят «выписывать тикеты эксплуатации», вместо того чтобы реагировать оркестратором в тот же момент.
На все события оркестратором в тот же момент реагировать?
Size: a a a
2019 November 21
EO
На все события оркестратором в тот же момент реагировать?
На события типа Пети надо бы в тот же момент. Вы с какой целью интересуетесь?
RA
Почему же?) вот в системе обнаружен вредонос, получили вы эту информацию от антивируса. Хотите удалить автоматически. Вот зачем в этом кейсе реалтайм?
Ну атомарное событие с чем коррелировать?
EO
Открою очередную гостайну - siem + orchestrated response без антивирусов давит Петю быстрее, чем Петя размножается.
SZ
Ну атомарное событие с чем коррелировать?
Нашел антивирус на хосте один здовред, удалил, снова его нашел, удалил, и так n раз за t минут. Вот уже и не одиночное событие.
DP
На события типа Пети надо бы в тот же момент. Вы с какой целью интересуетесь?
Я задаю вопросы на категоричные заявления с целью узнать посыл точнее
EO
Помог ваш антивирус, допустим, РусГидро, которые две недели сидели без ИТ и бэкапы читали, граждане продаваны?
SZ
Открою очередную гостайну - siem + orchestrated response без антивирусов давит Петю быстрее, чем Петя размножается.
А кто сиему рассказал о Пети?
EO
Там был антивирус, и не один.
EO
А кто сиему рассказал о Пети?
Нештатная модификация файлов БД рассказала, что так делать нельзя, поэтому надо блокировать, в т.ч. источник появления заразы, и развернуть из снэпа копию до. Занесите, пожалуйста, полторы тысячи евро за консультацию в кассу. Спасибо.
RA
Нашел антивирус на хосте один здовред, удалил, снова его нашел, удалил, и так n раз за t минут. Вот уже и не одиночное событие.
Если я правильно понимаю, то тут всё равно не корреляция )) а должно бы вспомнить про управление проблемами. Т.е. если одна и та же фигня возникает постоянно, то может быть уже стоит разобраться в первопричинах(бишь RCA устроить)?
EO
Я задаю вопросы на категоричные заявления с целью узнать посыл точнее
Вам вот прямо все правила реакции связки сием + оркестратор тут изложить? Бесплатно?
SZ
Нештатная модификация файлов БД рассказала, что так делать нельзя, поэтому надо блокировать, в т.ч. источник появления заразы, и развернуть из снэпа копию до. Занесите, пожалуйста, полторы тысячи евро за консультацию в кассу. Спасибо.
А где тут корреляция?)
EO
А где тут корреляция?)
У вас не оплачено, сорян.
SZ
:(
EO
Очевидно, что есть штатное поведение КИСУ, которому SIEM обучен ручками операторов SOC.
SZ
Я все равно не услышал ни одного довода про риалтайм. На все эти кейсы батчинга достаточно.
EO
А есть всё, что выходит за эти пределы. Бухгалтер баба Маша из Зарецкого филиала решила обработать не по 10 записей за раз, а десять гигабайт базы запросила.
SZ
Ну с реагируете на секунду позже, но инфра будет в n раз дешевле заказчику.
EO
Пришла какая-то хрень и пытается изменить файлы из списка, чего никогда не наблюдалось.