S
У них в блогах много таких историй, советую обратить внимание. Продукт другой, но суть та же
Size: a a a
2020 November 13
RM
Таки сием должна в автоматическом режиме детектить атаки из логов
Спланк — это не SIEM
AY
У них в блогах много таких историй, советую обратить внимание. Продукт другой, но суть та же
Благодарю
S
Ro Man
Спланк — это не SIEM
В данной ситуации он используется как сием
S
Я понимаю что у него шире возможности
RM
Я к тому, что «автоматически» он вам ничего не должен)
S
"автоматически" должен сделать аналитик
S
Настройку корреляционных правил, правильный парсинг логов
AY
Настройку корреляционных правил, правильный парсинг логов
Инженер же
S
Именно по этому подход в виде "дайте мне пачку логов, которые я буду анализировать спланком" мне не понятен
AY
Аналитик потом их читает и говорит где угрозы
S
Это где то в мире розовых пони так происходит судя по всему.
S
Аналитик, он же и допиливает спланк, что бы не глаза убивать в поиске логов, а в алерыэты смотреть
AY
Так может он и реагирует на них сам? Зачем я вообще тогда ИБ учу
AY
Всем спланк вместо СОКов
S
Реагирует на них уже ИТ. Устанавливая патчи, закрывая порты, сервисы, доступы
RM
https://splunkbase.splunk.com/app/4617/ Атак уже прикрутили?
AY
Incident response team в соке реагирует же а не ИТ
S
Если есть отдельная команда под ИБ которая это делает, то конечно да
S
В 90% случаев, эта компэанда это админы из ит отдела