Igor K.: скажите помочь, посмотрел у qradar всего 96 включенных правил, в общем 130, из них не относящиеся к сети я могу выполнить средствами заббикс около 95%. siem не генерирует логи, он берет и уведомляет, заббикс тоже самое делает, почему тогда они стоят как хорошая машина? чего я не понимаю, что есть в qradar arcsight такое что отличает от заббикса?
Алексей Черемисин: Что такое ElasticSearch? тут кажется прочел про не надежность. можете подсказать какого объема данные может обработать ES? не будет ли деградировать по мере возрастания базы? и еще вопрос, как правильно задуржить ES с zabbix? например заббикс для алертов и хранения базы 1мес. А со старыми данными уже работать в ES?
мне надо windows lunux security log хранить + содержимое текстового документа в разных ОС, item буду создавать по id, алерты кидать по триггеру, в заббиксе все это есть, можно ли все это реализовать в ES? еще пишут что ES не гарантированно хранит данные, триггеры будут работать в диапазоне 24х часов, т.е. желательно чтобы данные были в sga для быстрого анализа.
при использовании докера не упадет производительность? а что если я буду предоставлять продукт в виде образа виртуальной машины, с шифрованием разделов с уникальным клюем, если утечет в сеть то можно выявить нарушителя
Макс: я читал ваши темы в тостере, вы там интересовались с запросом по пользователям, хотели вытащить первое соединение за день, от части моя задумка тоже затрагивают такие моменты, если поверхностно то охарактеризовать как усконаправленный сием
Сейчас есть проект функционал скудный и написан на жава(куплен за 20к $у американской компании), но я создал копию этого проекта скриптами и функционал лучше чем платный продукт, делал из за не хватки функционала, хранить у себя не вариант так как там будет конфиденциальная информация
Я повторил проект (логику на sql + bash) которую купила наша организация, она написана на java, проект честно говоря сырой и функционал скудный, тем не менее купили за 20к $, я боюсь что если создам проект у которой код можно просмотреть то могут распространить ее в интернете и никто не будет покупать ее. Конечно я понимаю что есть ответственные организации которые соблюдают лицензионное соглашение но есть сотрудники которые любят все копировать в distr
