RA
Alexey Lukatsky
Это кандидаты на награду
осталось только согласовать маркетинговый бюджет
Size: a a a
2019 November 22
AL
осталось только согласовать маркетинговый бюджет
Это так делается?
IM
Вообще то говорили что у Ангары сока нет
Y
Вообще то говорили что у Ангары сока нет
NA
Хотелось бы все же вернуться к утонувшему во флейме вопросу Real-time vs Batching. Почему? Ну этот спор часто всплывает и ничем не заканчивается :)
Т.к. я неприкрытый фанат Спланка, то вижу что любую задачу можно решить как в одном, так и в другом подходе. Отличие лишь в удобстве и простоте решения, а также допущений, на которые можно пойти.
Я выделил ряд принципиальным моментов, в которой эти две технологии начинают различаться чуть более существенно. Коротко их можно разложить на два класса: допущение по latency и ограничение по ресурсам.
Real-time нельзя просто так остановить со словами: Воу-воу, полегче у меня CPU не хватает или памяти (очереди растут и все умирает). Batching вам на это ответит: Да не вопрос, только теперь ты будешь получать от меня ответ не через 15 сек, а через 60.
Т.к. я неприкрытый фанат Спланка, то вижу что любую задачу можно решить как в одном, так и в другом подходе. Отличие лишь в удобстве и простоте решения, а также допущений, на которые можно пойти.
Я выделил ряд принципиальным моментов, в которой эти две технологии начинают различаться чуть более существенно. Коротко их можно разложить на два класса: допущение по latency и ограничение по ресурсам.
Real-time нельзя просто так остановить со словами: Воу-воу, полегче у меня CPU не хватает или памяти (очереди растут и все умирает). Batching вам на это ответит: Да не вопрос, только теперь ты будешь получать от меня ответ не через 15 сек, а через 60.
IM
Могу ошибаться, но с учётом того что для корреляции и агрегации тебе минимум нужно накопить несколько записей то речь о реал тайме уж не идёт по определению.
NA
Вот для этого есть левая ветка в алгоритме
NA
Надо на нее ответить сначала
NA
Если я могу спокойно ждать 1-2 сек эти события и рекция в 5 сек - норм, то можно и риал-тайм движку это поручить
RS
Что такое batching в LM?
NA
Да, не расписал. Анализ событий. ИТ-мониторинг тут не рассматривается
NA
В ИТ-монитринге тоже всплывают задачки корреляции и реакции на них
SR
Хотелось бы все же вернуться к утонувшему во флейме вопросу Real-time vs Batching. Почему? Ну этот спор часто всплывает и ничем не заканчивается :)
Т.к. я неприкрытый фанат Спланка, то вижу что любую задачу можно решить как в одном, так и в другом подходе. Отличие лишь в удобстве и простоте решения, а также допущений, на которые можно пойти.
Я выделил ряд принципиальным моментов, в которой эти две технологии начинают различаться чуть более существенно. Коротко их можно разложить на два класса: допущение по latency и ограничение по ресурсам.
Real-time нельзя просто так остановить со словами: Воу-воу, полегче у меня CPU не хватает или памяти (очереди растут и все умирает). Batching вам на это ответит: Да не вопрос, только теперь ты будешь получать от меня ответ не через 15 сек, а через 60.
Т.к. я неприкрытый фанат Спланка, то вижу что любую задачу можно решить как в одном, так и в другом подходе. Отличие лишь в удобстве и простоте решения, а также допущений, на которые можно пойти.
Я выделил ряд принципиальным моментов, в которой эти две технологии начинают различаться чуть более существенно. Коротко их можно разложить на два класса: допущение по latency и ограничение по ресурсам.
Real-time нельзя просто так остановить со словами: Воу-воу, полегче у меня CPU не хватает или памяти (очереди растут и все умирает). Batching вам на это ответит: Да не вопрос, только теперь ты будешь получать от меня ответ не через 15 сек, а через 60.
Мне кажется ключевым моментом является возможность поместить данные в память и эффективно с ними работать если мы говорим про near real time процессы а не отчетность/статистику. Ты это правильно на схеме отрисовал
С точки зрения процессов SOC как правило счет идет на десятки минут, включая повышенные SLA - на минуты, но отнюдь не на секунды.
Здесь и реалтайм и микробатч справится.
SIEM в принципе не реалтаймовая система учитывая сколько времени проходит от происходящего события до просмотра алерта человеком (целевая система, сборщик, пайплайн сием, сервисдеск, алертинг)
С точки зрения процессов SOC как правило счет идет на десятки минут, включая повышенные SLA - на минуты, но отнюдь не на секунды.
Здесь и реалтайм и микробатч справится.
SIEM в принципе не реалтаймовая система учитывая сколько времени проходит от происходящего события до просмотра алерта человеком (целевая система, сборщик, пайплайн сием, сервисдеск, алертинг)
NA
В части SOC, я тут с тобой согласен.
SR
Если SIEM использовать как Антифрод, что само по себе песня, может и другая картина получиться )))
NA
Там тогда опят-таки левая стороно алгоритма начинает работать. Можно ли автоматически разрешить FP.
A
Rustem ? O_o
BB
Alexey
Rustem ? O_o
А что такого? ))) на сок форуме чат сильно пропиарили
E
вулнерс ок, но причем тут cloudflare....
# запоздало
я тоже не понял. фларя прикрутила отчётилку поверх вулнерс с нмап. в чем прикол то?
я тоже не понял. фларя прикрутила отчётилку поверх вулнерс с нмап. в чем прикол то?