Comments 4
254 453 172 событий ИБ за 3 месяца = 33 события в секунду на 15 500 узлов. Узлы-источники вообще подключены к питанию?
Конечно! 15 500 узлов это же не только серверы, которые 24/365 генерят трафик — это еще и пользовательские машины, которые отключаются или бездействуют в выходные/праздники/ночное время, это сервисы с которыми те же пользователи взаимодействуют в основном только в рабочее время, это виртуальные машины которые включаются по необходимости.
Так же не стоит забывать про то что у многих сенсоров есть «трешхолды» агрегирующие множественные события в одно, чтобы избежать флуда.
Так же не стоит забывать про то что у многих сенсоров есть «трешхолды» агрегирующие множественные события в одно, чтобы избежать флуда.
Если прикинуть иначе, то цифры нормальные:
70% узлов — ПК, режим работы: 8*5. Всего 10850 единиц.
30% узлов — сервисы, режим работы: 24*7. Всего 4650 единиц.
При этом: 254453172 / (90*24) = 117802 события в час.
Тогда за 90 дней:
1 ПК наработал 514 часов
1 Сервис наработал 2160 часов
Всего за 90 дней:
Все ПК наработали: 5580 тысяч часов (36%).
Все Сервисы наработали: 10044 тысяч часов (64%).
Если посчитать, что события распределены равномерно, то получаем, что:
82 события в час на каждый ПК (36% событий в час, т.е. 42072 события на 10850 ПК).
35 событий в час на каждый Сервис (64% событий в час, т.е. 75730 событий на 4650 Сервисов).
Т.к. мы берём не все события из логов, а только те, что относятся к отфильтрованным/отобранным событиям безопасности, то это вполне нормальные цифры.
70% узлов — ПК, режим работы: 8*5. Всего 10850 единиц.
30% узлов — сервисы, режим работы: 24*7. Всего 4650 единиц.
При этом: 254453172 / (90*24) = 117802 события в час.
Тогда за 90 дней:
1 ПК наработал 514 часов
1 Сервис наработал 2160 часов
Всего за 90 дней:
Все ПК наработали: 5580 тысяч часов (36%).
Все Сервисы наработали: 10044 тысяч часов (64%).
Если посчитать, что события распределены равномерно, то получаем, что:
82 события в час на каждый ПК (36% событий в час, т.е. 42072 события на 10850 ПК).
35 событий в час на каждый Сервис (64% событий в час, т.е. 75730 событий на 4650 Сервисов).
Т.к. мы берём не все события из логов, а только те, что относятся к отфильтрованным/отобранным событиям безопасности, то это вполне нормальные цифры.
как-то все свалено в кучу. В событиях и вирусы и попытки нарушения ограничений ИБ непонятно кем. Поэтому графики ни о чем получаются.
Опять же что есть событие и инцидент — очень нечетко определено. Кликнул на запрещенный документ — событие? Письмо с трояном — событие? Чем отличается атака от DDoS и прочих вирусов?
Хотелось бы четкой классификации по типам событий и графиков уже по ним
Опять же что есть событие и инцидент — очень нечетко определено. Кликнул на запрещенный документ — событие? Письмо с трояном — событие? Чем отличается атака от DDoS и прочих вирусов?
Хотелось бы четкой классификации по типам событий и графиков уже по ним
Sign up to leave a comment.
Отчёт Центра мониторинга информационной безопасности за II квартал 2017 года