Конечно! 15 500 узлов это же не только серверы, которые 24/365 генерят трафик — это еще и пользовательские машины, которые отключаются или бездействуют в выходные/праздники/ночное время, это сервисы с которыми те же пользователи взаимодействуют в основном только в рабочее время, это виртуальные машины которые включаются по необходимости.
Так же не стоит забывать про то что у многих сенсоров есть «трешхолды» агрегирующие множественные события в одно, чтобы избежать флуда.
Работаем непосредственно с логами, при необходимости анализируем трафик отдельных сетевых устройств.
Используем оборудование наших партнёров, установленное у заказчика. Анализ трафика осуществляем сигнатурно. С логами работаем в аналитической системе, которая может быть расположена у заказчика в системе, можем и к себе в аналитический центр затягивать.Захват трафика на анализ осуществляем либо через IDS, либо запрашиваем у заказчика дублирование трафика на отдельную машину, где его и пишем и анализируем «общеизвестными» инструментами.
Так же не стоит забывать про то что у многих сенсоров есть «трешхолды» агрегирующие множественные события в одно, чтобы избежать флуда.
У нас возможность накатить HIDS на Офис-2 появилась только после начала Противостояния, а про ваши объекты мы и не говорим.
Используем оборудование наших партнёров, установленное у заказчика. Анализ трафика осуществляем сигнатурно. С логами работаем в аналитической системе, которая может быть расположена у заказчика в системе, можем и к себе в аналитический центр затягивать.Захват трафика на анализ осуществляем либо через IDS, либо запрашиваем у заказчика дублирование трафика на отдельную машину, где его и пишем и анализируем «общеизвестными» инструментами.