Как стать автором
Обновить

Глубины SIEM: корреляции «из коробки». Часть 1: Чистый маркетинг или нерешаемая проблема?

Время на прочтение10 мин
Количество просмотров16K
Всего голосов 23: ↑23 и ↓0+23
Комментарии7

Комментарии 7

НЛО прилетело и опубликовало эту надпись здесь
Да, вы абсолютно правы. SIEM выедает очень много трудозатрат как при внедрении, так и при эксплуатации. Лично мое мнение заключается в том, что вендоры изначально позиционируют свои решения как «конструкторы», из блоков которых надо собирать себе «работающий» SIEM. Мало кто пытается переломить этот тренд и сделать продукт, которое будет решать конечные задачи пользователя, а не давать кубики для сборки.
Мне кажется, для того чтобы непосредственно решать проблемы ИБ средствами SIEM, надо, как минимум, постараться систематизировать входные данные, а не тратить на это время и мыслетопливо на этапе написания правил корреляции (они ведь и отвечают за конечную пользу).
В общем-то весь цикл статей, по большей части, именно про то, чтобы избавиться от garbage-in. И со следующей статьи это будет более четко видно.

С UEBA тоже тема не простая. Я долго искал в России инсталляции любого продукта класса UEBA, где бы заказчик честно признался, что она приносит ему пользу. Пока не нашел, но не оставляю попыток. Сам немого увлекаюсь ML и чуток понимаю как все работает, т.ч. пока у меня сложилось такое мнение, что для того чтобы UEBA реально заработала в штате нужен безопасник + data scientist. Любые поведенческие модели надо подкручивать под особенности своей инфраструктуры и бороться за precision и recall.
НЛО прилетело и опубликовало эту надпись здесь
Было бы неплохо в следующей статье сравнить набор нормализованных полей в различных популярных SIEMах.
Да, такое можно сделать. Только это займет целую статью. Сначала хочется описать к какой схеме, на мой взгляд, стоит прийти и потом уже, через эту призму, посмотреть на наборы полей, которые есть в наиболее распространенных в России SIEM-ах.

Ну когда уже следующая статья?

Понедельник (01.10.2018)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий