Алексей Лукацкий
@alukatsky
Специалист по кибербезопасности
Информация
- В рейтинге
- Не участвует
- Откуда
- Москва, Москва и Московская обл., Россия
- Работает в
- Дата рождения
- Зарегистрирован
- Активность
Специалист по кибербезопасности
Ваш аккаунт
Я вроде ясно написал "компании... управляют", а не "100 человек управляют". Каждый видит то, что он видит. Особенно, когда изначально настроен негативно. Но мы с вами готовы поделиться позитивом, нам не жалко.
Да там можно много кого отобразить. Мне важно было показать скорее два взгляда - монолитный и модульный. А уж кто как модули наполняет - это его дело.
Существуют компании на 100-200 человек, которые управляют активами из сотен тысяч узлов и ворочают миллиардами долларов оборота. Не количество сотрудников определяет необходимость в SIEM.
Вопрос не в количестве сотрудников, а в количестве средств защиты, которые вы будете заводить на SIEM. Если у вас, условно, антивирус и межсетевой экран на периметре, то от SIEM большого смысла не будет. Если у вас десятки (не преувеличение) различных средств защиты, то SIEM имеет смысл и при 100 сотрудниках. Ну и, конечно, играет роль количество узлов на мониторинге, а не число сотрудников. Но какого-то универсального правила, увы, нет
Я вас услышал!
Угу, SiteProtector, он самый
Ну тогда это не проблема продукта :-) Всего лишь нюанс конкретной организации
Так все зависит от настроек. Можно сделать так, чтобы локальная сетка не рубилась
Что касается примера с обрывом, то все зависит от того, что мы мониторим. Мы же можем отслеживать рост нагрузки на сервис и по динамике этого роста делать вывод. Если профиль будет выглядеть как «пила» (постепенный рост и падение), это одно и похоже на описанный вариант с переустановкой сессий. Если профиль выглядит как «шляпа» (внезапный рост и падение), то это может рассматриваться как DDoS. Так что все зависит от настройки анализатора Netflow
Нет, все управление политиками делается на стороне шлюза.