Недавно делал обработчик событий для HP 5500 HI Switch Series. Очень проблемно писать что-то самому — когда нету документов о форматах логов, о типах событий в них, о всевозможных комбинациях данных. Это я к тому, что в админгайдах ничего нет и правила пишутся в основном на основе опыта, чаще — своего(такими данными редко кто делится). А когда доходит дело до правил, то иногда встаешь в ступор:
-какие правила могут быть для свича? роутера?
-какие правила могут быть для DLP? Check Point IPS?
Можно создать уведомления на какие-либо события, но это не есть правила корреляции.
DLP и IPS это уже готовые системы, которые на основе своих алгоритмов и сигнатур выявляют угрозы. Как можно коррелировать уже выявленные угрозы?
Идеальной считаю систему, ни где много правил корреляции, а где правила могут устанавливать взаимосвязи с несколькими источниками событий. Vpn-сервер +network access control +антивирус +фаервол + терминальный сервер + SAP = и чтобы по одному клику можно было увидеть с какого внешнего IP и под какой учетной записью подключился пользователь к VPN, который отправил на печать отчет ХХХХХ.
Мониторить состояние устройств/серверов/критически важных систем
Под это описание больше подходит Nagios\Zabbix и др. SIEM собирает и обрабатывает события из журналов системы. Думаю тут корректней будет использовать «Мониторинг событий»
Какой объем жесткого диска требуется для хранения данных?
Мне в свое время понравилась статья, правда там тоже есть нюансы.
правило корреляции… они выглядят как регулярные выражения
Ни разу не встречал правило корреляции в виде регулярного выражения. Можете назвать пример SIEM в которой правило корреляции выглядит как регулярное выражение? В моем понимание правило — это взаимосвязь нескольких событий, например: 10 попыток неудачно аутентификации за короткий промежуток времени, множественные события с одного IP адреса.
поддержку для источника… отправлять события как SYSLOG
Ну тут не все так просто. Часто, события передаваемые по SYSLOG сильно отличаются по структуре. Для примера: сервер ESXi, rhel, умный switch. Они все могут передавать события на сервер журналов, но для их обработки придется попотеть. Если для ArcSight это еще можно сделать без больших затрат, то для таких систем как TSIEM, SSIM разработка может занять значительные сроки.
Нужна ли какая-то поддержка SIEM… ИБ обновляться и добавляться
Правила, это такая вещь которую ни один интегратор не доведет до ума(мое мнение) и все равно придется на протяжение всей эксплуатации системы создавать новые правила\новые шаблоны отчетов.
Убил 10 минут, чтобы понять как работает «Пропущенное число», особенно если поставить в настройках количество символов — 1!
Описания нет. Где число пропущено(в начале, в конце, в середине)? Wolfram предлагает дикие формулы последовательностей. И самое обидное — не показывается правильный вариант.
Дайте тут спрошу.
Как некоторые уже заметили, подкасты были вынесены в отдельное приложения. После остановки воспроизведения, и какое-то время ожидания(игры, программы), когда я пытаюсь продолжить воспроизведение по дабл-хоум-влево, ничего не происходит. Мне каждый раз приходится запускать приложение подкастов, выбирать нужный их них, листать в низ до последнего эпизода и только после этого продолжать воспроизведение.
ipod touch 4g
Я пытался начать с ней работать, но как то не сложилось.
-какие правила могут быть для свича? роутера?
-какие правила могут быть для DLP? Check Point IPS?
Можно создать уведомления на какие-либо события, но это не есть правила корреляции.
DLP и IPS это уже готовые системы, которые на основе своих алгоритмов и сигнатур выявляют угрозы. Как можно коррелировать уже выявленные угрозы?
Идеальной считаю систему, ни где много правил корреляции, а где правила могут устанавливать взаимосвязи с несколькими источниками событий. Vpn-сервер +network access control +антивирус +фаервол + терминальный сервер + SAP = и чтобы по одному клику можно было увидеть с какого внешнего IP и под какой учетной записью подключился пользователь к VPN, который отправил на печать отчет ХХХХХ.
Мне в свое время понравилась статья, правда там тоже есть нюансы.
Ни разу не встречал правило корреляции в виде регулярного выражения. Можете назвать пример SIEM в которой правило корреляции выглядит как регулярное выражение? В моем понимание правило — это взаимосвязь нескольких событий, например: 10 попыток неудачно аутентификации за короткий промежуток времени, множественные события с одного IP адреса.
Ну тут не все так просто. Часто, события передаваемые по SYSLOG сильно отличаются по структуре. Для примера: сервер ESXi, rhel, умный switch. Они все могут передавать события на сервер журналов, но для их обработки придется попотеть. Если для ArcSight это еще можно сделать без больших затрат, то для таких систем как TSIEM, SSIM разработка может занять значительные сроки.
Правила, это такая вещь которую ни один интегратор не доведет до ума(мое мнение) и все равно придется на протяжение всей эксплуатации системы создавать новые правила\новые шаблоны отчетов.
Описания нет. Где число пропущено(в начале, в конце, в середине)? Wolfram предлагает дикие формулы последовательностей. И самое обидное — не показывается правильный вариант.
Как некоторые уже заметили, подкасты были вынесены в отдельное приложения. После остановки воспроизведения, и какое-то время ожидания(игры, программы), когда я пытаюсь продолжить воспроизведение по дабл-хоум-влево, ничего не происходит. Мне каждый раз приходится запускать приложение подкастов, выбирать нужный их них, листать в низ до последнего эпизода и только после этого продолжать воспроизведение.
ipod touch 4g