Z
Ты силён бро, пилок для лобзика выслать? 😉
я грызу его уже)))
Size: a a a
2019 December 11
Z
в этом чатике остались наивные люди, уверовавшие в коробочное решение? 😁
коробка наше всё)))
RI
🤣ну я внес изменения, ты внес. ты копируешь уже на мою версию..все пипец
Шарик же, ну.
Z
Ruslan Ivanov
Шарик же, ну.
таблица в гугл докс) общедоступная
RI
Я тут или в соседнем чате пропустил данный холивар. Повторите для меня пожалуйста.
Вот виндовые логи или логи с оракла или логи с циски. Их форматы зависят от источника, транспорта, протокола. Переслать сислогом все что получил это ведь не большая проблема, но что делать другому сиему который хотел бы получить это в виде ответа на структурированный запроса "типа select ... From"?
Или Сием теперь должен из себя будет повторить все транспорты и протоколы?
Вот виндовые логи или логи с оракла или логи с циски. Их форматы зависят от источника, транспорта, протокола. Переслать сислогом все что получил это ведь не большая проблема, но что делать другому сиему который хотел бы получить это в виде ответа на структурированный запроса "типа select ... From"?
Или Сием теперь должен из себя будет повторить все транспорты и протоколы?
Почитай про Datalake. Дарю идею - кто первый его напишет под российские раеалии - поднимет нормально денег ;)
RI
Ну я не понимаю как можно эффективно передать логи из одного сиема в другой.
Мы делаем это либо до нормализации либо после.
Если до, то проблема сохранения форматов и транспортов.
Если после. То вообще не понятно зачем второму сиему нормализация первого.
Ни в первом ни во втором случае честного сравнения сиемов не будет.
Мы делаем это либо до нормализации либо после.
Если до, то проблема сохранения форматов и транспортов.
Если после. То вообще не понятно зачем второму сиему нормализация первого.
Ни в первом ни во втором случае честного сравнения сиемов не будет.
1. Можно 2. Можно и так, и эдак, зависит что ты хочешь 3. Нет, там вообще не в этом проблема, вот честно 4. Абсолютно не нужна и часто вредна (бывает нужна, если ты первым экономишь на лицензиях во втором)
$
Ruslan Ivanov
Почитай про Datalake. Дарю идею - кто первый его напишет под российские раеалии - поднимет нормально денег ;)
Слабак! Я вот сдержался))))
RI
Давно CEF придумали и csv
eStreamer и кучу других форматов.
v
Нет.
RI
Да. Отдельную категорию/линию там сделать и пустить туда тех кого надо
Поддерживаю, очень здравый совет.
v
речь шла не про интеграцию SIEM и DL, не про SIEM и BigData, и даже не про SIEM и Log Management. Исходный вопрос был в интеграции двух SIEM между собой. именно эту позицию я атакую.
v
всё остальное понятные кейсы, которые даже встречаются в адекватном виде.
RI
значит речь о уже нормализованных событиях. Значит в вышестоящем сиеме можно выкинуть всё что кассается правил номрализации, аггрегации, корреляции. и писать заново. кажется спасибо никто за это не скажет. ну и цеф прекрасен, сиди и разбирай кастомстринг1 кастомстринг2 кастомстринг3 и т.д.
Ты определись, тебе на ёлку, или так? (хороший каламбур получился же)
RI
v
так я про это и писал два SIEM связывать это очень странная задача если и имеющая полезное велью то явно сильно специфическое
RI
911 человек в чате о наболевшем)
Я так и представил себе - огромный зал, все сидят на стульях и рыдают друг другу в жилетки. Модераторы периодически выводят господ и дам в состоянии нервного срыва.
v
Ruslan Ivanov
Я так и представил себе - огромный зал, все сидят на стульях и рыдают друг другу в жилетки. Модераторы периодически выводят господ и дам в состоянии нервного срыва.
НАМ НУЖНО ТАКОЕ МЕРОПРИЯТИЕ!
v
почему скадовцам можно а нам нет?
Z
НАМ НУЖНО ТАКОЕ МЕРОПРИЯТИЕ!
пореветь days
v
Revet'Day