лучше свое но мигающее, чем чужое с неизвестными компетенциями

/напевает Юрия Антонова

А за кормою уплывал
Весёлый морвокзал
Ах, белый теплоход
Гудка тревожный бас
Крик чаек за кормой
Сиянье синих глаз
Ах белый теплоход
Бегущая вода
Уносишь ты меня
Скажи, куда?

🤣

ну вот если б некоторые сиемы умели форвардить поток событий, то можно было бы прямо сравнить в онлайне свои компетенции и чужие :) ну или если бы заказчики заводили логи в свой лог менеджмент сначала... а с него прям хоть в конурентном режиме давай отсасывать (логи) и желтым и синим и красным :))

нууу это такая тема....пугающие слова про юзкейсы которые охватываем и т.д.) что поделать если не доверяешь никому, даже себе с утра

Я тут или в соседнем чате пропустил данный холивар. Повторите для меня пожалуйста.


Вот виндовые логи или логи с оракла или логи с циски. Их форматы зависят от источника, транспорта, протокола. Переслать сислогом все что получил это ведь не большая проблема, но что делать другому сиему который хотел бы получить это в виде ответа на структурированный запроса "типа select ... From"?

Или Сием теперь должен из себя будет повторить все транспорты и протоколы?

Ничего не понял, но жутко интересно)

Во во

Ну я не понимаю как можно эффективно передать логи из одного сиема в другой.

Мы делаем это либо до нормализации либо после.

Если до, то проблема сохранения форматов и транспортов.

Если после. То вообще не понятно зачем второму сиему нормализация первого.


Ни в первом ни во втором случае честного сравнения сиемов не будет.

Давно CEF придумали и csv

Давай определимся с причиной - это делать зачем?

По поводу тикетницы и SIEM - делайте тикеты в ИТшной. Все равно много работы им выполнять. Все встроенные тикетницы в продуктах по безопасности - нишевая история, подходящая только для редких мелких случаев

Сервис деск имеете ввиду?

Да. Отдельную категорию/линию там сделать и пустить туда тех кого надо

мне не нужно сравнивать сиемы. мне проще когда заказчик приходит со словами "ну мы тут это ... сием внедрили... но вот дальше хотим сок" отфорвардить все события к себе, чем переносить весь контент и логику к заказчику....

начнём с того что есть сертифицированные решения а есть те что работаю

При такой логике - пофигу что летит в сертифицированные и в каком виде - лишь бы «лампочки мигали»

по опыту не всегда и не для всех регуляторов. была ситуация когда регулятор смотрел в консоль на ACL

А мп сием не умеет кастомные скрипты исполнять?

ТП на этот вопрос мне не ответила.