RI
В SIEM, скорее всего, точно не нужно. В TIP может понадобиться для вычисления доверия к источнику, например.
Size: a a a
2021 May 05
RI
Ну или если хочется сделать ретроспективный анализ.
VL
коллизии хешей чтоли анализ)
RI
Скорее коллизии связанных объектов, типа имён процессов, файлов и т.д.
$
А вот Алексей проигнорировал ;)
RI
Всё, всё, ухожу...
$
Не, не предложил)
$
Теперь есть другая субд
RI
Хранить атомарные объекты вообще в целом для анализа как-то бессмысленно, нас же интересуют их отношения и взаимосвязи, в основном.
VL
засылать со всех хостов все хеши связанные с процессом... хм, это наверное дороговато по перформансу выходит.
RI
Да я бы не сказал, не так часто меняются процессы и уж тем более их хэши.
RI
Ну и не надо их засылать, если это не выходит за рамки нормы - достаточно послать идентификатор события, который потом развернётся в процесс и хэш, если нужно
ОД
ОД
И? Есть принципиальная разница? Тот же Томас говорил, о том, что если ты пишешь под все РСУБД ты не пишешь не под одну.
RI
Сложно делать ретроспективный анализ файловых событий или событий связанных с процессами, если не хранить запись действий и соответствующие хэши.
ОД
Что такое ретроспективный анализ? Селекты сильно назад? В чем трудности?
RI
В объёме хранения и вычислений.
ОД
ну т.е нет проблем :) ?
RI
Вообще не вижу. ;)
RI
Были бы ресурсы.