AD
Size: a a a
2017 May 25
EB
за 40 лимонов в год проще нанять 4 сотрудников чтобы они все логи проверяли, чем платить непонятно за что
Вот за фразой "все логи проверяли" что стоит, очень интересно? ))))
v
за 40 лимонов в год проще нанять 4 сотрудников чтобы они все логи проверяли, чем платить непонятно за что
Ключевое в этих словах: 4 человека и ВСЕ логи. Если у тебя 5 человек и 5 контролируемых систем не надо никакого сиема (ну и сока тоже) они будут смотреть каждый в свою систему а коррелировать в курилке.
AD
как раз мне понятно что и зачем. Я от лица руководителя компании вещаю. Уже столкнулся с проблемами как донести необходимость внедрения... "Тебе людей не хватает? Давай еще наймем"
EB
Ключевое в этих словах: 4 человека и ВСЕ логи. Если у тебя 5 человек и 5 контролируемых систем не надо никакого сиема (ну и сока тоже) они будут смотреть каждый в свою систему а коррелировать в курилке.
Ты сейчас пошутил?
EB
Если эта система с 100 внешними связями и приносит миллиард чистыми в год? Тоже не надо? Тоже в курилке?
E
Не все события которые может отследить АС (в данном случае SIEM) и сыпать оповещения, может отследить человек, для этого ему потребуется гораздо больше временных ресурсов.
E
И тут возникает вопрос критичности отслеживаемых ресурсов и необходимой скорости реакции на инциденты ИБ
EB
Так на мой вопрос больше нет ответов? Что является целью soc-то?
V
Модно это)))
v
Ты сейчас пошутил?
В большинстве случаев нет не шутка. Конечно бывают и те что ты ниже привёл с миллиардами миллиардов. Но в целом , греп, баш, питон и т. Д. с большинством задач справляются. Продукты и сок все же на мой взгляд нужны в рамках других объёмов, нежели 5 виндоус серверов.
ND
Так на мой вопрос больше нет ответов? Что является целью soc-то?
Ответ на этот вопрос волнует всех присутствующих, я думаю. Пока ближе всего, как мне кажется - мониторинг и отчетность для оперативного реагирования на инциденты.
EB
SOC - он для выявления инцидентов ИБ и минимизации последствий реализации угроз в отношении ключевых информационных активов и бизнес-процессов компании
EB
Еще можно добавить про предупреждение - как цель
EB
Какие еще варианты есть?
ВД
за 40 лимонов в год проще нанять 4 сотрудников чтобы они все логи проверяли, чем платить непонятно за что
Это не цена сервиса :) это сколько стоит построить внутри
NK
за 40 лимонов в год проще нанять 4 сотрудников чтобы они все логи проверяли, чем платить непонятно за что
А все логи чего, извините? Одного Файрвола? Или записи Systemd по всей сети? Ну, попробуйте в этих логах найти атаки - вперёд!
EB
АА
Еще сок хорошо может помочь в устранении уязвимостей 0 дня, особенно если будут оперативно коррелировать с соками других компаний или же будет какая-то единая база знаний по инцидентам (хотя врятли такая будет...)
EB
Согласен, централизация соков - это очень важно