$
А если у тебя фидов несколько и они в разных хэшах?)
Size: a a a
2021 May 05
$
Толстый на грани
AL
ты же их не сразу в SIEM льешь? а сначала в TIP, наверное. там и нормализуй к единому типу хэша. но опять же. это при условии, что у тебя средства мониторинга/защиты поддерживают этот хэш. То есть ты выбираешь эти средства в том числе и по типу поддерживаемого хеша. Для новых систем, вполне себе вариант. Для legacy - не работает
$
А вот это правильный вопрос к Коле :)
AL
зачем к нему? он дал три альтернативы. я написал четвертую возможную. но она скорее всего никем пока не применяется
ОД
Это не 3 альтернативы, а 3 подхода с +-. Там есть над чем работать и не к сием, а к БД скорее относится вопрос.
NA
В разных СИЕМ разные БД под капотом, поэтому и подходы разные. Но это не говорит о том, что в одном СИЕМ можно реализовать только один подход. Просто что-то будет быстрее работать, что-то медленее
NA
Цель вопроса была в том, чтобы понять какие подходы чаще всего используют
NA
Далеко не все заморачиваются и копаются в потрохах разных СИЕМ с целью понять на чем работает движок табличных списков.
AL
Запусти опрос. Людям проще жмакнуть на радиобаттон, чем отвечать
ОД
Это наверное мои флешбеки из DBAшного прошлого, пардоньте.
NA
опять"Я томат" победит
RI
Есть ещё пятая ;)
NA
Если она действительно "боевая" и где-то используется, то было бы интересно узнать.
NA
Первые 2 мои схемы и 3-я Сергея были не плодом фантазии, а реальными схемами, которые работают далеко не в одном заказчике ).
NA
и, да, у каждой схемы есть техническое обоснование: почему она такая и какие ограничения конкретного СИЕМ она обходит.
RI
Точнее, их даже больше пяти, если не ограничивать себя реляционными отношениями.
$
Ты не дочитал вопрос тогда. Извини, Маэстро
$
Попробуй ;)
$
)))))