А вот например платный ЕЛК дешевле намного и в нем есть МЛ для корреляций

И даже в бесплатном есть timelion который в какой то мере частично закрывает - там есть всякие тренды

Но в целом МЛ лучше на порядок

А в спланке есть МЛ?

(машин лернинг)

Уверен что есть, тк он сейчас кругом есть, тренд же :)
спланк считается самой жесткой СИЕМкой, на 2019 год, но и самой дорогой, если мне не изменяет память

Пояснение, не Splunk, а Splunk ES считается самой жёсткой SIEM по гартнеру

Correlation Searches в Splunk ES есть, но по сути это те же поиски, только на выходе они дают Notable Events, которые потом отображаются в консоли Splunk Enterprise Security.

Как человек с физическим образованием, я думал, что Correlation Search  - это когда SIEM связывает несколько источников данных и выдаёт интересные результаты. Нифига. в Splunk "Хост с большим числом заражений" - это тоже correlation search.

Где там поиск корреляции?

В Splunk мне больше всего нравится то, что многие вендоры, а также энтузиасты сделали дофига приложений, которые парсят логи для Splunk. Например: cisco, oracle, windows, qualys, nessus и т.д. И нет необходимости самому писать все эти парсилки\регулярки.

Поэтому, если хотите внедрять Splunk, поищите готовые приложения для вашего стэка. Посмотрите насколько они часто обновляются, какой у них рейтинг.

Если большая часть систем покрывается годными приложениями от Splunk, то вам гораздо проще будет жить, так как логи будут разобраны и вам останется только работать с ними как с таблицами.

3-4 года назад у Splunk не было приложения для Oracle, теперь появилось. И все эти adump bdump на ура парсятся.

А если у вас есть возможность представить различные логи в табличном/разобранном виде, то тут уже работает вся функциональность Splunk. Все хитрые команды, все возможности по отчётам, по алертам, по дашбордам.

А если вы хотите использовать именно Splunk ES (SIEM систему), то тут еще больше требований к приложениям. Так как Splunk ES работает только с CIM-совместимыми логами. И для каждого приложения вам еще нужно будет проверить, есть ли в нём совместимость с CIM, или нет.

Всем доброго утра!:)

Доброго утра :)
Splunk ES это совсем отдельная инсталляция? Или оно встраивается в Splunk? Можно ли скармливать в Splunk ES логи из ELK, например? Или это не будет дешевле, не будет проще, не будет лучше и вообще не имеет смысла?

Насколько сложно поддерживать CIM совместимые логи в собственном приложении на Java, например?

>> Splunk ES это совсем отдельная инсталляция?

Это премиальное приложение для Splunk. С оговорками.

>> Можно ли скармливать в Splunk ES логи из ELK, например?  

Мы кормим из Kafka, но тут опять оговорки. Если вендор написал приложение для парсинга текстовых логов, а вы ему их шлёте из ELK, то надо будет приложение доработать, скорее всего.

>> CIM

про CIM-совместимость почитайте что такое. По большому счёту - это приведение различных логов к единому стандартному виду. src, src_ip, source, source_ip - это ведь одно и то же.