Pull to refresh

Comments 3

С другой стороны, в Elastic Stack есть модуль Machine Learning. Это хотя и не полноценное решение по выявлению сигнатур угроз, но кое-что увидеть можно.
Кое-что можно увидеть и с помощью бесплатного SiLK. В случае с платным модулем ML в ELK перед вами все равно встанет задача, связанная с пониманием того, что мы хотим получить на выходе из ML без учителя. Без этого ничего не работает. Не бывает так, что мы подаем на вход ML что-то непонятное и он нам сразу все разложит по полочкам. Да, какие-то аномалии мы увидим (например, возросшее число DNS-запросов или DNS-трафик нестандартной длины или утечки данных), но число таких угроз, выявляемых «из коробки» будет невелико. Для остальных придется дописывать свои обработчики, что в итоге может встать в сумму, сопоставимую с покупкой готового решения (если включать в анализ затрат еще и зарплату специалиста, который сможет работать с ML-модулем в ELK). Но в целом да, из ELK можно сварить что-то вкусное, если уметь его готовить и потратить на это чуть больше времени.
Sysdig неплохой инструмент, имеет смысл посмотреть
Sign up to leave a comment.