Комментарии 19
SOCasS
Так никто не пишет. IaaS — Infrastructure-as-a-Service, PaaS — Platform-as-a-Service, CaaS — Containers-as-a-Service и т.д.
Следовательно SOCaaS должно называться. А не SOCass.
del
Приступаю к чтению продолжения и не останавливайтесь, пожалуйста.
И главное название вашего перевода!!! Не знаю насколько вы разбираетесь в Эластике, но вы смешали названия двух дистрибутивов: собственно оригинала: «Elastic Stack» и «Open Distro for Elasticsearch», созданного компанией Amazon. Кстати в названии оригинальной стати Open Distro не упоминается. Не стоит путать читателей, которые пойдут качать Open Distro for Elasticsearch, и вдруг не обнаружат там SIEM, т.к. его там нет и быть не может, т.к. SIEM не идёт с опен сорсовой лицензией.
Помогите, пожалуйста, поправить посты. Буду очень благодарен.
Помогите, пожалуйста, поправить посты. Буду очень благодарен.
Честно, просто не вижу смысла. SIEM на бесплатном Эластике ставится за пол дня включая OOB rules… ну может день, если кластер большой и у клиента проблемы с фаерволами и сертифицатами. Ещё день на Логсташ если надо наружу писать и столько же на ElastAlert (скорее всего меньше). Подкючение дата сорсов, да, зависит от того есть ли готовые модули. Понятно, что потом надо делать Rules, но это отдельная тема на много времени, и я в ней очень плохо разбираюсь. Дешборды берутся из готовых, а те, которых не хватает, строятся по ходу. Если человек хочет их научиться делать, стоит просто найти курс по Кибане. В среднем проект на 10 дата сорсов, в базе, занимает от 5 до 10 рабочих дней… Смысл городить огород? Я так же уверен, что в блогах производителя есть достаточно статей по тому, как постоить SIEM. Вот их можно было бы перевести, но там их столько и они на столько часто появляются, что… можно устать:)
Где это лучше написать? В заголовке? В начале поста?
все так
Так SIEM эластика платная (и серьёзно платная), а тут речь о том, как построить аналог на полном опенсорсе.
Вот скажите, а зачем писать, если точно не знаете? Ведь так легко зайти на страницу производителя и проверить … SIEM бесплатный, он не опен сорсный для SIEM, но бесплатный. То что стоит денег — это Machine Learning jobs и пересылка Алертов в мейл и т.д. Что без того, что без другого вполне можно жить. И да, на пересылку алёртов можно поставить Логсташ, а на мейлы таки да ElastAlert. Бесплатных ML, правда, не знаю. Но главное, сам SIEM бесплатный! Единственно зачем может понадобиться опен сорс версия — это если вы хотите построить SIEM и продавать его как продукт… даже не как сервис, а именно как продукт, устанавливаемый у клиента (да, такие на рынке есть, но сом, неваюсь, что эта статья для них). И да, в опен сорсе теряется очень много функционала, вкючая часть модулей у битов.
Зачем Вы даете недостоверную инфу? Вот я захожу на страницу https://www.elastic.co/siem и первое что вижу — ЖИРНУЮ КНОПКУ "Start free trial"
Раз триал — значит, все-таки полный продукт платный? Или как это работает?
Ладно, прошу прощения, перегрелся. Заходим на https://www.elastic.co/subscriptions и обнаруживаем, что SIEM есть в BASIC (который The forever-free plan.) При этом SIEM там какой-то обрезанный (без Detection rule alerting и ML)
Ради справедливости — действительно в изначальной статье не говорится ничего об опендистро, но подразумевается, что автор САМ делает велосипед поверх ELK, который заменяет SIEM в составе платного эластика. Это четко можно понять из https://medium.com/@ibrahim.ayadhi/visualizing-dashboards-and-elk-siem-c4a669f3fae8
тем, что автор взял опендистро как базовый дистриб эластика? А не официальный эластик?
ELK, SIEM из OpenSource, Open Distro: Введение. Развертывание инфраструктуры и технологий для SOC как Service (SOCasS)