Комментарии 7
НЛО прилетело и опубликовало эту надпись здесь
Да, вы абсолютно правы. SIEM выедает очень много трудозатрат как при внедрении, так и при эксплуатации. Лично мое мнение заключается в том, что вендоры изначально позиционируют свои решения как «конструкторы», из блоков которых надо собирать себе «работающий» SIEM. Мало кто пытается переломить этот тренд и сделать продукт, которое будет решать конечные задачи пользователя, а не давать кубики для сборки.
Мне кажется, для того чтобы непосредственно решать проблемы ИБ средствами SIEM, надо, как минимум, постараться систематизировать входные данные, а не тратить на это время и мыслетопливо на этапе написания правил корреляции (они ведь и отвечают за конечную пользу).
В общем-то весь цикл статей, по большей части, именно про то, чтобы избавиться от garbage-in. И со следующей статьи это будет более четко видно.
С UEBA тоже тема не простая. Я долго искал в России инсталляции любого продукта класса UEBA, где бы заказчик честно признался, что она приносит ему пользу. Пока не нашел, но не оставляю попыток. Сам немого увлекаюсь ML и чуток понимаю как все работает, т.ч. пока у меня сложилось такое мнение, что для того чтобы UEBA реально заработала в штате нужен безопасник + data scientist. Любые поведенческие модели надо подкручивать под особенности своей инфраструктуры и бороться за precision и recall.
Мне кажется, для того чтобы непосредственно решать проблемы ИБ средствами SIEM, надо, как минимум, постараться систематизировать входные данные, а не тратить на это время и мыслетопливо на этапе написания правил корреляции (они ведь и отвечают за конечную пользу).
В общем-то весь цикл статей, по большей части, именно про то, чтобы избавиться от garbage-in. И со следующей статьи это будет более четко видно.
С UEBA тоже тема не простая. Я долго искал в России инсталляции любого продукта класса UEBA, где бы заказчик честно признался, что она приносит ему пользу. Пока не нашел, но не оставляю попыток. Сам немого увлекаюсь ML и чуток понимаю как все работает, т.ч. пока у меня сложилось такое мнение, что для того чтобы UEBA реально заработала в штате нужен безопасник + data scientist. Любые поведенческие модели надо подкручивать под особенности своей инфраструктуры и бороться за precision и recall.
Было бы неплохо в следующей статье сравнить набор нормализованных полей в различных популярных SIEMах.
Ну когда уже следующая статья?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Глубины SIEM: корреляции «из коробки». Часть 1: Чистый маркетинг или нерешаемая проблема?