KZ
на уровне условного логстеша можно сделать очереди/рейтлимиты на запись
Size: a a a
2020 October 02
KZ
и я не до конца уверен, что можно выставить ацл в "можно писать, но не читать". впрочем, это уже от недостатка знаний
D
думаю, что это оно
S
Не понятно, как Вы собираетесь на ёлке сием логику делать?
D
я пока только разбираюсь
D
если я говорю глупости - то от незнания
D
Sergey D.
Не понятно, как Вы собираетесь на ёлке сием логику делать?
подскажите правильный путь
S
Логстеш хоть и не удобен, но может часть функционала сделать.
Хотя, имхо все это нищебродство, куча костылей и подпорок.
Но если денег на нормальный сием не дают, то поиграться, конечно, можно.
Хотя, имхо все это нищебродство, куча костылей и подпорок.
Но если денег на нормальный сием не дают, то поиграться, конечно, можно.
D
дело не в нищебродстве, а в том, чтоб понять - какие данные я могу собирать и главное, что потом с ними делать. Просто собирать логи - нафиг не надо, если не анализировать их и не ставить алерты.
D
я ж только в начале пути :)
D
как только я разберусь, то смогу обосновать покупку сиема и того, что надо
S
Чтобы понять, что собирать, и как анализировать есть книжки. Например, из лучшего - hands on blue team.
S
Но если надо убить кучу времени с нулевым эффектом, можно и самому разбираться.
S
Это я о своем опыте...
S
Кстати автор - один из разработчиков карбона.
D
Спасибо за книжку, прчитаю
DT
вообще с SIEM нужно понять одну главную вещь
DT
не надо собирать все логи подряд
DT
а потом думать что с ними делать
DT
нужно сначала поставить задачу, а потом думать что для этого нужно