Я вроде ясно написал "компании... управляют", а не "100 человек управляют". Каждый видит то, что он видит. Особенно, когда изначально настроен негативно. Но мы с вами готовы поделиться позитивом, нам не жалко.
Существуют компании на 100-200 человек, которые управляют активами из сотен тысяч узлов и ворочают миллиардами долларов оборота. Не количество сотрудников определяет необходимость в SIEM.
Вопрос не в количестве сотрудников, а в количестве средств защиты, которые вы будете заводить на SIEM. Если у вас, условно, антивирус и межсетевой экран на периметре, то от SIEM большого смысла не будет. Если у вас десятки (не преувеличение) различных средств защиты, то SIEM имеет смысл и при 100 сотрудниках. Ну и, конечно, играет роль количество узлов на мониторинге, а не число сотрудников. Но какого-то универсального правила, увы, нет
Cisco Secure Desktop мы прекратили продавать в 2012-м году (https://www.cisco.com/c/en/us/obsolete/security/cisco-secure-desktop.html), а поддержку — в 2014-м.
Ну давайте не навешивать на Netflow то, что ему не свойственно :-) На уровне приложений можно ловить различные атаки — я бы не сказал, что это невозможно. Но в целом, это не задача Netflow, и сильно будет зависеть уже от NTA. Но пример с прикладными атаками как раз хорошо показывает, зачем нужен SIEM и почему одного Netflow недостаточно.
Что касается примера с обрывом, то все зависит от того, что мы мониторим. Мы же можем отслеживать рост нагрузки на сервис и по динамике этого роста делать вывод. Если профиль будет выглядеть как «пила» (постепенный рост и падение), это одно и похоже на описанный вариант с переустановкой сессий. Если профиль выглядит как «шляпа» (внезапный рост и падение), то это может рассматриваться как DDoS. Так что все зависит от настройки анализатора Netflow
Вот именно собирать весь Netflow, да и sflow тоже, и отдавать его в SIEM — это смысла не имеет. А вот обрабатывает его на NTA, а алерты уже отдавать в SIEM, — вполне себе решение
Это классно, но относится преимущественно к траблшутингу, где отказ от анализа пакетов не сильно влияет на результат. В безопасности потеря пакетов критична
Никак не относится — он же Netflow генерит :-) При правильном планировании сети нужда в таких устройствах вообще отпадет и flow можно будет брать с самого сетевого устройства
Есть такие сети :-) Я sflow не обижаю. Просто он разрабатывался в другой парадигме и для других задач. По сути, это облегченный Netflow. Но для целей ИБ можно и его задействовать
Я вроде ясно написал "компании... управляют", а не "100 человек управляют". Каждый видит то, что он видит. Особенно, когда изначально настроен негативно. Но мы с вами готовы поделиться позитивом, нам не жалко.
Да там можно много кого отобразить. Мне важно было показать скорее два взгляда - монолитный и модульный. А уж кто как модули наполняет - это его дело.
Существуют компании на 100-200 человек, которые управляют активами из сотен тысяч узлов и ворочают миллиардами долларов оборота. Не количество сотрудников определяет необходимость в SIEM.
Вопрос не в количестве сотрудников, а в количестве средств защиты, которые вы будете заводить на SIEM. Если у вас, условно, антивирус и межсетевой экран на периметре, то от SIEM большого смысла не будет. Если у вас десятки (не преувеличение) различных средств защиты, то SIEM имеет смысл и при 100 сотрудниках. Ну и, конечно, играет роль количество узлов на мониторинге, а не число сотрудников. Но какого-то универсального правила, увы, нет
Я вас услышал!
Угу, SiteProtector, он самый
Ну тогда это не проблема продукта :-) Всего лишь нюанс конкретной организации
Так все зависит от настроек. Можно сделать так, чтобы локальная сетка не рубилась
Что касается примера с обрывом, то все зависит от того, что мы мониторим. Мы же можем отслеживать рост нагрузки на сервис и по динамике этого роста делать вывод. Если профиль будет выглядеть как «пила» (постепенный рост и падение), это одно и похоже на описанный вариант с переустановкой сессий. Если профиль выглядит как «шляпа» (внезапный рост и падение), то это может рассматриваться как DDoS. Так что все зависит от настройки анализатора Netflow
Нет, все управление политиками делается на стороне шлюза.