Ну, да, не стоим на месте) Если вдруг надумаете менять, что сейчас используете – обращайтесь. Или если захотите поделиться идеей еще какой-нибудь нужной вам фичи. Мы советы ценим)
Ну 10к EPS на одну ноду - точно. Но вообще важно понимать, что event event-у рознь. Разница в весе события от разных источников может достигать 7-ми крат. Поэтому мерить производительность абстрактными EPS, без уточнения, про какие именно event мы говорим - не информативно. Разница в производительности на событиях от разных источников также может достигать семикратного размера.
Про ELK я говорил выше, повторюсь: у нас есть опыт успешного замещения системы. Лучше или нет – тут вопрос к клиентам. О наших преимуществах мы много писали в статье – система простая и понятная, это для многих заказчиков то, что доктор прописал.
Что касается open-source SIEM. Они могут быть хорошим решением, но только в одном случае – если в компании достаточный штат квалифицированных администраторов, у которых есть время и знания, чтобы постоянно «допиливать» систему под свою компанию. Но даже если так — для компании это слишком большой риск: если спец уйдет, с ним скорее всего уйдет и вся экспертиза. Ну и последнее. В нынешних условиях доверить опен-сорс решению свою безопасность готовы все меньше компаний.
Да, все, что пишете про современную SIEM, справедливо. Это действительно тот набор функций, которых ожидают и наши заказчики (мы, собственно, их все потому и реализовали и описали в статье – посмотрите: и про правила корреляции, и про алерты, дашборды, карточки инцидентов и т.д.).
По поводу систем, которые следовало бы заменить – не вижу проблем ни по одной из перечисленных. Мы работали и замещали SIEM у заказчиков, хорошо знакомых или применявших перечисленных «иностранцев».
Монга перестает быть оупенсорсной только в случае, если продается за деньги - и в этом случае на нее действительно начинает распространяться ряд ограничений. Но в нашем случае это не так.
если говорить про формирование инцидентов на основании заданной последовательности событий - то само собой да. Если говорить про управление активами и реакцию в виде изменений настроек источников данных (и пр.) то нет. Но такой функционал будет добавлен в течении этого года.
В описанном виде - нет. Но в правилах кросс-корреляции для похожих целей используется указание поля объединения. Это позволяет добиться похожего результата без добавления одинакового поля в каждое событие.
нет, такого функционала нет. Но есть ряд инструментов, позволяющих решить задачи, которые обычно решаются динамическими списками в других решениях.
Ну, да, не стоим на месте) Если вдруг надумаете менять, что сейчас используете – обращайтесь. Или если захотите поделиться идеей еще какой-нибудь нужной вам фичи. Мы советы ценим)
Ну 10к EPS на одну ноду - точно. Но вообще важно понимать, что event event-у рознь. Разница в весе события от разных источников может достигать 7-ми крат. Поэтому мерить производительность абстрактными EPS, без уточнения, про какие именно event мы говорим - не информативно. Разница в производительности на событиях от разных источников также может достигать семикратного размера.
Что касается open-source SIEM. Они могут быть хорошим решением, но только в одном случае – если в компании достаточный штат квалифицированных администраторов, у которых есть время и знания, чтобы постоянно «допиливать» систему под свою компанию. Но даже если так — для компании это слишком большой риск: если спец уйдет, с ним скорее всего уйдет и вся экспертиза. Ну и последнее. В нынешних условиях доверить опен-сорс решению свою безопасность готовы все меньше компаний.
По поводу систем, которые следовало бы заменить – не вижу проблем ни по одной из перечисленных. Мы работали и замещали SIEM у заказчиков, хорошо знакомых или применявших перечисленных «иностранцев».
Конечно, мы понимаем сложившуюся ситуацию и реагируем на неё. Уже работаем над переводом серверной части на Linuх.
Можно ссылку, откуда данные про 10% штата? было бы интересно ознакомиться с таким исследованием.
Монга перестает быть оупенсорсной только в случае, если продается за деньги - и в этом случае на нее действительно начинает распространяться ряд ограничений. Но в нашем случае это не так.
если говорить про формирование инцидентов на основании заданной последовательности событий - то само собой да. Если говорить про управление активами и реакцию в виде изменений настроек источников данных (и пр.) то нет. Но такой функционал будет добавлен в течении этого года.
В описанном виде - нет. Но в правилах кросс-корреляции для похожих целей используется указание поля объединения. Это позволяет добиться похожего результата без добавления одинакового поля в каждое событие.
нет, такого функционала нет. Но есть ряд инструментов, позволяющих решить задачи, которые обычно решаются динамическими списками в других решениях.