Как ELK помогает инженерам по ИБ бороться с атаками на сайты и спать спокойно

[AlekseyO]

Спасибо за пост. Рассматривали ли clickhouse?

[Wentura]

Пожалуйста. Мы её не рассматривали, нам нужен был комплекс ПО, а не просто база.

[Wentura]

.

[skymal4ik]

Вы ищете (или делаете из эластика) то, что называется SIEM — продукт, который собирает логи безопасности, коррелирует, анализирует их и оповещает инженеров о возможных атаках. С его помощью (в большинстве случаев уже из коробки) можно обнаруживать более сложные кейсы, например удачный логин после сотни неудачных попыток (успешный брутфорс), запуск приложения и подключение к подозрительному серверу после загрузки файла на сервер (заливка вируса через форму на сайте) и многие другие.

У эластика кстати тоже есть siem, и даже в бесплатной версии. Единственные минусы — без нотификаций (но у вас нагиос это делает), и сам сием появился относительно недавно, так что не самый матёрый продукт. Но вам с вашими юз-кейсами может быть самое то.