Comments 15
Стандартизация логов для SIEM — это очень хорошо. Но ограничиваться передачу стандартизированных логов только по syslog, на мой взгляд, не очень правильно. Этим мы сильно сужаем круг источников событий (а как же Microsoft Windows, Microsoft SQL и многие другие источники событий ИБ?)
На первом месте — приведение логов к определенному формату.
С помощью чего передавать логи — это уже второй вопрос. Syslog был выбран из-за простоты реализации.
Кстати, syslog в windows реализуется с помощью бесплатного SNARE.
С помощью чего передавать логи — это уже второй вопрос. Syslog был выбран из-за простоты реализации.
Кстати, syslog в windows реализуется с помощью бесплатного SNARE.
Согласен про приведение логов к единому формату.
Но привязка к единому транспорту ограничивает сферу применения стандарта CEF. Зачем ставить на windows-сервер syslog клиента, если есть несколько стандартных, причем безопасных, методов передачи логов с таких машин?
Может производителям стоит обратить внимание на стандарт CEE (http://cee.mitre.org/).
Но привязка к единому транспорту ограничивает сферу применения стандарта CEF. Зачем ставить на windows-сервер syslog клиента, если есть несколько стандартных, причем безопасных, методов передачи логов с таких машин?
Может производителям стоит обратить внимание на стандарт CEE (http://cee.mitre.org/).
Бегло прочитал описание CEE.
По-моему, CEE и CEF — одного поля ягоды, идеи очень похожие, по CEF как-то понятнее…
Кстати, CEE тоже можно через syslog передавать.
Но производители почему-то склоняются именно к CEF.
По-моему, CEE и CEF — одного поля ягоды, идеи очень похожие, по CEF как-то понятнее…
Кстати, CEE тоже можно через syslog передавать.
Но производители почему-то склоняются именно к CEF.
Вы в корне неправы.
Можно примеры склонности к CEF?
Почитайте презентацию Чувакина. Там азы заложены ;)
Можно примеры склонности к CEF?
Почитайте презентацию Чувакина. Там азы заложены ;)
Вы в корне неправы.
Очень серьезное заявление. Ладно бы, если я был неправ в п.1, если быть точным — п.п. 1.7 и п.п. 1.18.
Но если «в корне», тогда пора мне переносить статью обратно в черновики…
Можно примеры склонности к CEF?
В начале моей статьи есть ссылки на пресс-релизы.
Вот еще ссылка на список технологических партнеров HP ArcSight
Почитайте презентацию Чувакина. Там азы заложены ;)
Я извиняюсь, а кто такой доктор Чувакин и почему его презентация — это азы?
Более того, его мнение нельзя считать непредвзятым, поскольку он работает на LogLogic (один из производителей SIEM).
И еще. Ваш смайлик после слова «азы» как бы намекает, что я не знаком даже с азами.
Делаю вывод, что вы — очень самоуверенный человек.
У вас устаревшая информация. Он в Gartner :)
«CEF Connectors and Action Connectors are the foundation for interoperability between ArcSight and partner technologies which can be certified to benefit our joint-customers»
Это не склоняются именно к CEF", они используют его для интеграции. Это разные вещи. Приведу простой пример. Вам нужно (именно вам, потребность) позвонить в Штаты. Вы им предлагаете заговорить с вами на русском, или все же будете на инглише разговаривать?
Это не склоняются именно к CEF", они используют его для интеграции. Это разные вещи. Приведу простой пример. Вам нужно (именно вам, потребность) позвонить в Штаты. Вы им предлагаете заговорить с вами на русском, или все же будете на инглише разговаривать?
Вы мне лучше приведите ссылку, по которой я смогу пройти и убедиться, что формат CEE поддерживает большее (чем формат CEF) количество вендоров
Давайте забудем про минусомет и объективно рассудим.
Говоря фразу «Вы в корне неправы.» я имела ввиду ваш коммент в котором я это написала а не статью. Не следует воспринимать комментарии не содержащие «о, спасибо, клево» как атаку на вас.
Цель статьи какая? Рассказать про CEF? Ну подготовьтесь, изучите его сначала сами, посмотрите — а какие есть проблемы у siem\sim систем в рамках типизации событий. Приведите примеры плюсов и минусов использования CEF. Посмотрите кто использует CEF и как. В данном случае вы объективно этого не понимаете. Пример — продукт компании в которой я работаю в данное время интегрирован с ArcSight. Но это не означает, что мы используем CEF.
Примеры? «Подключение нового источника событий превращается в «plug and play»» Вот ведь не так на практике, да?! Да, с типизацией на стороне источника, с которым интегрируемся или агента (когда в siem приходят уже нормализованные типизированные события) все намного проще становится. Можно и фильтрацию делать, и ресурсы сервера на типизацию не тратятся. И правилами корреляции по ним можно работать и методами пройтись…
" Его уже применяют и в других решениях, связанных с обработкой логов." Можно примеры? Просто примеры классов решений. Или вендоров. Для саморазвития. Может, я просто фразу не поняла.
«Вы мне лучше приведите ссылку, по которой я смогу пройти и убедиться, что формат CEE поддерживает большее (чем формат CEF) количество вендоров»
CEE: Tripware, Sensage
CEF: ArcSight
Это siem-ы. То что указали вы, еще раз, при всем уважении, это «CEF Connectors and Action Connectors», но не использование CEF партнерами для своих продуктов.
У CEF, равно как и у остальных, есть свои плюсы и минусы. Насколько я знаю из блогов, CEF хотели модифицировать, развить, так как не совсем устраивал.
Про udp доставку, я надеюсь, вы знаете. 100 км от мкад и там такие каналы связи «замечательные»… Про спутник — тоже. Встает сразу проблема целостности передачи. Ну а про защищенность udp я промолчу.
Говоря фразу «Вы в корне неправы.» я имела ввиду ваш коммент в котором я это написала а не статью. Не следует воспринимать комментарии не содержащие «о, спасибо, клево» как атаку на вас.
Цель статьи какая? Рассказать про CEF? Ну подготовьтесь, изучите его сначала сами, посмотрите — а какие есть проблемы у siem\sim систем в рамках типизации событий. Приведите примеры плюсов и минусов использования CEF. Посмотрите кто использует CEF и как. В данном случае вы объективно этого не понимаете. Пример — продукт компании в которой я работаю в данное время интегрирован с ArcSight. Но это не означает, что мы используем CEF.
Примеры? «Подключение нового источника событий превращается в «plug and play»» Вот ведь не так на практике, да?! Да, с типизацией на стороне источника, с которым интегрируемся или агента (когда в siem приходят уже нормализованные типизированные события) все намного проще становится. Можно и фильтрацию делать, и ресурсы сервера на типизацию не тратятся. И правилами корреляции по ним можно работать и методами пройтись…
" Его уже применяют и в других решениях, связанных с обработкой логов." Можно примеры? Просто примеры классов решений. Или вендоров. Для саморазвития. Может, я просто фразу не поняла.
«Вы мне лучше приведите ссылку, по которой я смогу пройти и убедиться, что формат CEE поддерживает большее (чем формат CEF) количество вендоров»
CEE: Tripware, Sensage
CEF: ArcSight
Это siem-ы. То что указали вы, еще раз, при всем уважении, это «CEF Connectors and Action Connectors», но не использование CEF партнерами для своих продуктов.
У CEF, равно как и у остальных, есть свои плюсы и минусы. Насколько я знаю из блогов, CEF хотели модифицировать, развить, так как не совсем устраивал.
Про udp доставку, я надеюсь, вы знаете. 100 км от мкад и там такие каналы связи «замечательные»… Про спутник — тоже. Встает сразу проблема целостности передачи. Ну а про защищенность udp я промолчу.
девушка, смените тон, пожалуйста
«подготовьтеськ алгебре как следует» — я с таким же успехом могу высказать в Ваш адрес
пример с MaxPatrol очень показателен в данном случае
спросите у программистов вашей компании, почему вместо CEF используется XML — узнаете много интересного для себя
заодно пусть расскажут Вам про передачу трафика Syslog с помощью протокола TCP
если Вы так радеете за CEE — пожалуйста
обращаю внимание — в цели моей статьи не входили сравнительный анализ форматов и описание их плюсов/минусов
как бы Вам этого не хотелось
«подготовьтесь
пример с MaxPatrol очень показателен в данном случае
спросите у программистов вашей компании, почему вместо CEF используется XML — узнаете много интересного для себя
заодно пусть расскажут Вам про передачу трафика Syslog с помощью протокола TCP
если Вы так радеете за CEE — пожалуйста
обращаю внимание — в цели моей статьи не входили сравнительный анализ форматов и описание их плюсов/минусов
как бы Вам этого не хотелось
Давно пора.
Не было ли каких-нибудь изменений в спецификации с 2009 года? В особенности есть ли какие-то изменения в жестком ограничении (как я понял) перечня наименования полей (жеский перечень + 6 кастомных строковых)?
И как в таком случае передаются логи Windows Vista+, в которых полей очень много? Получается отдельные части событий теряются?
И как в таком случае передаются логи Windows Vista+, в которых полей очень много? Получается отдельные части событий теряются?
> Не было ли каких-нибудь изменений в спецификации с 2009 года
Последняя версия (20) от 2013 года доступна на protect724.hp.com/docs/DOC-1072
> И как в таком случае передаются логи Windows Vista+
Информация по маппингу полей protect724.hp.com/docs/DOC-2914
Последняя версия (20) от 2013 года доступна на protect724.hp.com/docs/DOC-1072
> И как в таком случае передаются логи Windows Vista+
Информация по маппингу полей protect724.hp.com/docs/DOC-2914
Sign up to leave a comment.
Common Event Format изнутри