Интеграция решений по мониторингу Netflow и SIEM

Все блоги / Про интернет 13 мая 2020 377

SIEM давно превратились в стандарт де-факто при анализе событий безопасности и выявлении инцидентов (хотя сейчас отмечается некоторое движение в сторону отказа от SIEM и замены их решениями по управлению журналами регистрации с надстройкой из технологий машинного обучения), но эффективность этого решения сильно зависит от того, с какими источниками данных оно работает. Все-таки обычно специалисты SIEM преимущественно работают с журналами регистрации, оставляя в стороне такой важный источник информации, как Netflow, который позволяет увидеть то, что часто не попадает в логи или попадает, но слишком поздно. При этом возникает ряд вопросов. Зачем современному SIEM-решению нужна поддержка Netflow? Что SIEM может получить от анализа Netflow? Какой вариант интеграции SIEM с Netflow предпочесть, если есть производители, которые встраивают поддержку Netflow в свои решения напрямую, а есть те, кто предпочитает работать с различными коллекторами Netflow. В чем особенности работы SIEM с Netflow? Об этом мы и поговорим. Читать дальше →

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Глубины SIEM: экспертиза. Чьи правила корреляции лучше

Многие из тех, кто сталкивался с SIEM, знакомы с разработкой правил корреляции. Производители SIEM-решений, коммерческие SOC, интеграторы — все предлагают свои правила и утверждают, что они лучше других. Так ли это на самом деле? Как выбрать поставщика правил? Что такое экспертиза в SIEM?

подробнее »

14 мая 2019

Как интегрироваться с решениями Cisco по безопасности? Обзор двух десятков API, доступных всем

Сегодня в России очень модной стала тема SOC и SIEM. Все их строят и пишут. Вы знали, что в России уже около десятка собственных систем мониторинга событий безопасности (SIEM)? Эту цифру перевалило и число коммерческих SOCов, предлагающих свои услуги заказчикам, которые попадут под требования

подробнее »

23 октября 2017

[Из песочницы] Пишем Arcsight FlexConnector. Log File

В настоящее время решения по сбору и анализу событий информационной безопасности, системы класса SIEM находятся на пике своей популярности, современные компании ставят перед собой задачу подключить как можно больше своих ключевых систем к SIEM для консолидации данных из этих систем, анализа событий

подробнее »

18 октября 2017

На страже безопасности: IBM QRadar SIEM

Современные киберпреступники при атаках систем защиты компаний используют все более изощренные методы. Чтобы противодействовать им, департаменты информационной безопасности вынуждены анализировать и интерпретировать огромное количество событий в день. Компания IBM для защиты от угроз сетевой

подробнее »

31 марта 2017

GitHub: шаблон Zabbix для мониторинга задач сбора данных в MaxPatrol SIEM

Сегодня SIEM – это главный помощник при анализе событий ИБ: трудно представить, сколько бы потребовалось времени, чтобы вручную просматривать логи с множества источников. При этом прекращение сбора данных с источника – достаточно распространенная проблема SIEM. И далеко не всегда можно решить ее

подробнее »

26 мая 2020

Поиск Use Case'ов для SIEM

Глоссарий: SIEM (Security Information & Event Management) — программно-аппаратный комплекс для сбора информации о событиях (логи), их корреляции и анализа. Wiki. Use Case (применительно к SIEM) — устоявшийся термин, обозначающий конкретный набор правил/скриптов и/или механизмов визуализации.

подробнее »

30 ноября 2016