SIEM to jest najtrudniejszy system do wdrożenia globalnie. W większości firm SIEM wdrażany jest przez firmę, która go sprzedaje, wpinając wszystkie źródła jeszcze zanim pracownicy w ogóle do niego zasiądą. Efekt jest taki, że przy pierwszym kontakcie z systemem masz zalogowane już miliony zdarzeń, które są od Sasa do Lasa - od logów macierzy RAID w jednym systemie, do dziennika application zalewanego logami przez błędy aplikacji, o której słyszysz pierwszy raz w życiu. Do tego przez same firmy to jest sytuacja pożądana, bo jeżeli logi są to znaczy że w kwitach system jest monitorowany nie? W dodatku w większości SIEM'ów subskrybujesz konkretny dziennik, i nie masz dobrej możliwości filtrowania via EventID albo via Regex. Żeby filtrować skutecznie, trzeba na ogół postawić dodatkowe forwardery, i tam via syslogng filtrować logi regexami. Inna sprawa że "sprawdzone, renomowane SIEM'y" stoją na bazach relacyjnych i zanim cokolwiek wyszukają jesteś już w innej firmie ;) Konia z rzędem temu, kto wytłumaczy ludziom, że posiadanie w SIEM'ie Security + Sysmon + System + BZAR na IDS daje lepszą informację niż logowanie wszystkiego co się da. Dobry spec, który siedzi w temacie ładnych parę lat nawet nie potrzebuje specjalnie parsowania całych logów bo zna na pamięć numerki eventid i sprawnie używa full text searcha. Powiedzieliście sporo mądrych rzeczy, ale diabeł tkwi w szczegółach, których nie podaliście ;) Staracie się mówić ogólnie o rzeczach do których trzeba wejść w technikalia.
Dzięki za świetny komentarz. Niestety musimy zachowywać balans między technikaliami a sprawami bardziej organizacyjnymi, menedżmentowymi. Postaramy się odnieść do Twojego komentarza w następnych podcastach. Zapraszamy także do kontaktu bezpośredniego, może uda się wspólnie porozmawiać :) Pozdrawiam, Kamil z FBC.
@@cybsecurity Hej, nie jest to krytyka waszego podcastu, widać że rozmówcy świetnie wiedzą co jest grane ;) Obawiam się niestety że ugryzienie większosci tematów po prostu wymaga wejścia w technikalia - ja świetnie rozumiem to o czym mówiliście bo mam kontekst, ale taki manager który sam przed kompem nie siedzi może nabrać fałszywej pewności że po przesłuchaniu podcastu zacznie wiedzieć co robi ;) Obydwaj wiemy że to nieprawda i zinterpretowanie tego co mówiliście wymaga backgroundu i doświadczenia ;)
Proszę kontynuację o systemach Siem i soar z chęcią bym posłuchał więcej na ten temat. Może właśnie o budowaniu scenariuszy
Trochę już o tym rozmawialiśmy, chyba jeszcze w 2018 r. Chętnie powtórzymy ten temat zahaczając właśnie o SOAR-y. Dziękujemy za dobre słowo! :)
SIEM to jest najtrudniejszy system do wdrożenia globalnie. W większości firm SIEM wdrażany jest przez firmę, która go sprzedaje, wpinając wszystkie źródła jeszcze zanim pracownicy w ogóle do niego zasiądą. Efekt jest taki, że przy pierwszym kontakcie z systemem masz zalogowane już miliony zdarzeń, które są od Sasa do Lasa - od logów macierzy RAID w jednym systemie, do dziennika application zalewanego logami przez błędy aplikacji, o której słyszysz pierwszy raz w życiu. Do tego przez same firmy to jest sytuacja pożądana, bo jeżeli logi są to znaczy że w kwitach system jest monitorowany nie? W dodatku w większości SIEM'ów subskrybujesz konkretny dziennik, i nie masz dobrej możliwości filtrowania via EventID albo via Regex. Żeby filtrować skutecznie, trzeba na ogół postawić dodatkowe forwardery, i tam via syslogng filtrować logi regexami.
Inna sprawa że "sprawdzone, renomowane SIEM'y" stoją na bazach relacyjnych i zanim cokolwiek wyszukają jesteś już w innej firmie ;)
Konia z rzędem temu, kto wytłumaczy ludziom, że posiadanie w SIEM'ie Security + Sysmon + System + BZAR na IDS daje lepszą informację niż logowanie wszystkiego co się da. Dobry spec, który siedzi w temacie ładnych parę lat nawet nie potrzebuje specjalnie parsowania całych logów bo zna na pamięć numerki eventid i sprawnie używa full text searcha.
Powiedzieliście sporo mądrych rzeczy, ale diabeł tkwi w szczegółach, których nie podaliście ;) Staracie się mówić ogólnie o rzeczach do których trzeba wejść w technikalia.
Dzięki za świetny komentarz. Niestety musimy zachowywać balans między technikaliami a sprawami bardziej organizacyjnymi, menedżmentowymi. Postaramy się odnieść do Twojego komentarza w następnych podcastach. Zapraszamy także do kontaktu bezpośredniego, może uda się wspólnie porozmawiać :) Pozdrawiam, Kamil z FBC.
@@cybsecurity Hej, nie jest to krytyka waszego podcastu, widać że rozmówcy świetnie wiedzą co jest grane ;) Obawiam się niestety że ugryzienie większosci tematów po prostu wymaga wejścia w technikalia - ja świetnie rozumiem to o czym mówiliście bo mam kontekst, ale taki manager który sam przed kompem nie siedzi może nabrać fałszywej pewności że po przesłuchaniu podcastu zacznie wiedzieć co robi ;) Obydwaj wiemy że to nieprawda i zinterpretowanie tego co mówiliście wymaga backgroundu i doświadczenia ;)