$
Нет, не понимаю :)
Своё понимание (если вы читали) я выложил выше.
Вопрос был про сием.
Но вы продолжайте
Своё понимание (если вы читали) я выложил выше.
Вопрос был про сием.
Но вы продолжайте
Size: a a a
2021 May 05
ОД
Давайте так. Я имел ввиду, что нет проблем настроить любой (ну практически) ретроспективный запрос к РСУБД. Вы изволили говорить, о проблемах какого-то SIEM. Я попросил датасет и селект. В ответ одна схоластика.
$
1. Вопрос был про сием (не про ретроспективу)
2. Конено нет проблем. Вопрос в глубине и сложности запроса
3. Конечно схоластика, Вы же иного не предложили.
Я уже говорил - продолжайте. Вам утром ответят другие. Возможно немножко в более грубой форме
2. Конено нет проблем. Вопрос в глубине и сложности запроса
3. Конечно схоластика, Вы же иного не предложили.
Я уже говорил - продолжайте. Вам утром ответят другие. Возможно немножко в более грубой форме
ОД
Странно, я может быть не верно читаю, но до сих пор не могу определить проблемную область. Давайте подождем более грубых и конкретных коллег. Сейчас это всё про сферических коней в вакууме.
$
@Almagest1 перечитайте вопрос.
ОД
Вопрос разве не о том, Как хранить данные?
$
Совсем нет
NA
Вопрос о том как это делают сейчас, а не о том, как это потенциально можно сделать
NA
и именно в СИЕМ, а не Оракле или TIP
RI
Коля, давай пойдём от обратного и облегчим всем задачу. Хэши у тебя в siem зачем?
NA
это данность, тут нет вопроса "зачем?"
$
Наивный))
Посмотри что Коля делает ;)
Посмотри что Коля делает ;)
ОД
Тогда я извиняюсь, не верно понял задачу. Я надеялся, что есть задача хранить что-то определенным образом и извлечь из этого данные с удобоворимыми параметрами.
$
Так и есть. Но одно условие - выдать удобным «для siem»
ОД
Siem извлекает же из бд...
$
Своего ;)
И так как подашь
И eps очень часто влияет на стоимость (сильно)
И поэтому - в каком формате и как выдавать
И поэтому - какое железо считать
И так как подашь
И eps очень часто влияет на стоимость (сильно)
И поэтому - в каком формате и как выдавать
И поэтому - какое железо считать
ОД
Стоимость это стоимость по оптимизатору?
FL
По сабжу. Мы решаем несколько задач связанных с обработкой и хранением IOC.
Задача 1 - хранение, тут все понятно, должна быть TIP, это может быть как внутренняя платформа так и внешняя.
Задача 2 - проверка данных на потоке. Тут используем нормализатор данных , дальше все данные на потоке прогоняются через оперативку - redis, где хранятся в виде - key:value
Задача 3 - быстро поискать ретроспективно. Есть отдельная база где есть все хэши, ип, даты, e.t.c которые встречались в инфраструктуре и их источники. Если поступает новый индикатор, то он из SOAR должен провериться на наличие по этой базе.
Задача 1 - хранение, тут все понятно, должна быть TIP, это может быть как внутренняя платформа так и внешняя.
Задача 2 - проверка данных на потоке. Тут используем нормализатор данных , дальше все данные на потоке прогоняются через оперативку - redis, где хранятся в виде - key:value
Задача 3 - быстро поискать ретроспективно. Есть отдельная база где есть все хэши, ип, даты, e.t.c которые встречались в инфраструктуре и их источники. Если поступает новый индикатор, то он из SOAR должен провериться на наличие по этой базе.
$
А по железу?
А по времени реагирования?
И тд
А по времени реагирования?
И тд
NA
Я подозреваю, что Вы не сталкивались с кейсом проверки индикаторов силами СИЕМ на потоке.