forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Система анализа сетевых угроз Metron получила статус первичн..., opennews (??), 25-Апр-17, (0) [смотреть все]

Что за мода делать продукты для обеспечения безопасности на основе дырявых соста, Аноним (-), 11:43 , 25-Апр-17, (1) –1 //

На базе Elasticsearch уже ботнеты строят Теперь можно продемонстрировать высший, Аноним (-), 11:47 , 25-Апр-17, (2) +4 //

А вы не выставляте голую жопу против ежа На базе Elasticsearch уже ботнеты ст, Аноним (-), 12:35 , 25-Апр-17, (3) +4

Правильные продукты для обеспечения безопасности, в первую очередь сидят в изо, Аноним (-), 12:43 , 25-Апр-17, (4) +1 //

Радости с того, что оно в изолированной, если среди пакетов, выдернутых из трафи, YetAnotherOnanym (ok), 17:13 , 25-Апр-17, (11) //

эта штука не кормит elastic пакетами из траффика, это не tcpdump А если тебе кто, пох (?), 18:30 , 25-Апр-17, (12) +1

Слушай эта вот вещь - metron - хоть стоящая Или баловство одно , Аноним (-), 20:48 , 25-Апр-17, (14)

ну, типа, начнем с того, что циска ее - выбросила - Причем довольно давно, там, пох (?), 21:21 , 25-Апр-17, (16)

А причём Теле2 В Теле2 в качестве SIEM используется Спланк И в Циско, если вер, лютый жабист__ (?), 08:42 , 26-Апр-17, (18)

привел как пример правильного размерчика - еще не мегафон, где бардак уже не выл, пох (?), 09:19 , 26-Апр-17, (20)

Ну вот на несколько тысяч рыл потестировать нормально Или как из пушки хех , Аноним (-), 21:21 , 26-Апр-17, (25)

Что за мода делать продукты для обеспечения безопасности на Java, Аноним (-), 15:24 , 25-Апр-17, (7) +2 //

у циски _все_ сделано на жабке, не важно, для чего готовьте стопиццотую версию J, пох (?), 16:56 , 25-Апр-17, (10)
36 млрд установок, чё Все 36 млрд 8212 ошибаются, да , Sabakwaka (ok), 19:08 , 25-Апр-17, (13) //

неплохо ботнет , Аноним (-), 20:56 , 25-Апр-17, (15)

Опять подгорает Вся Бигдата на жабе, хочешь ты этого или нет , лютый жабист__ (?), 08:46 , 26-Апр-17, (19) //

конечно - мы-то не разработчики, которые нахyякали это в продакшн и смылись с ко, пох (?), 09:29 , 26-Апр-17, (21)

Вот вы вроде пытаетесь писать много околоумных буков и произвести впечатление Н, RomanCh (ok), 10:02 , 26-Апр-17, (22) +1

честно говоря, единственным местом, где я работал, и это было не нужно клянчить,, пох (?), 15:01 , 26-Апр-17, (23)

Ну, ХЗ, везде где я работал отношение к железу было как-то проще Например для ди, RomanCh (ok), 20:11 , 26-Апр-17, (24)

почти всё бигдатовое ПО Опенсорс с 10 летней историейув ыксперд Intellij Idea , лютый жабист__ (?), 05:47 , 27-Апр-17, (26) –1
так, на минуточку - энтерпрайзненький циско-свитчик с 48 poe портами в принципе , пох (?), 18:52 , 27-Апр-17, (27)

Какое раболепие Напомнить что все деньги компании зарабатываются вот этими са, RomanCh (ok), 19:17 , 28-Апр-17, (28)

Сообщения [Сортировка по времени | RSS]

4. "Система анализа сетевых угроз Metron получила статус первичн..." +1 +/–

Сообщение от Аноним (-), 25-Апр-17, 12:43

Правильные продукты для обеспечения безопасности, в первую очередь "сидят" в изолированой сети без выходы куда либо и "сушают" сеть.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

11. "Система анализа сетевых угроз Metron получила статус первичн..." +/–

Сообщение от YetAnotherOnanym (ok), 25-Апр-17, 17:13

Радости с того, что оно в изолированной, если среди пакетов, выдернутых из трафика для анализа, прилетит такой, который вызовет срабатывание уязвимости?

Ответить | Правка | Наверх | Cообщить модератору

12. "Система анализа сетевых угроз Metron получила статус первичн..." +1 +/–

Сообщение от пох (?), 25-Апр-17, 18:30

> Радости с того, что оно в изолированной, если среди пакетов, выдернутых из
> трафика для анализа, прилетит такой, который вызовет срабатывание уязвимости?
эта штука не кормит elastic пакетами из траффика, это не tcpdump.
А если тебе кто-то сумеет прислать поддельный netflow-пакетик, то поздравляю шарик, ты балбес - тебе уже не аномалии надо в сети выискивать, а ловить хакера, поимевшего непосредственно сетевую инфраструктуру.
Если что, описанная в статье похабень вовсе не для этого.
ну и до кучи, эластиковые проблемы обычно со стороны интерфейса, а не со стороны базы.
как, собственно, и у hadoop и у прочих.

Ответить | Правка | Наверх | Cообщить модератору

14. "Система анализа сетевых угроз Metron получила статус первичн..." +/–

Сообщение от Аноним (-), 25-Апр-17, 20:48

Слушай эта вот вещь - metron - хоть стоящая? Или баловство одно?

Ответить | Правка | Наверх | Cообщить модератору

16. "Система анализа сетевых угроз Metron получила статус первичн..." +/–

Сообщение от пох (?), 25-Апр-17, 21:21

ну, типа, начнем с того, что циска ее - выбросила ;-) Причем довольно давно, там этому OpenSOC уже сто лет в обед.
при этом коммерческие продукты у нее никуда не делись, то есть слезать с этой темы они вроде и не собираются (да и опасно, надо ж закрывать своими продуктами целиком проекты, а не отдельные части)
для дома для семьи оно чудовищно сложное и меганавороченное (там, собственно, для того все эти эластики с хадупами, чтоб пережевывать какие-то совсем уж терабайтные потоки мусора), то есть это не корпоративное решение.
Если у тебя, чисто случайно, завалялась действующая сетка размером этак с tele2, но plain ip (настоящей теледве не поможет, учти, ловить аномалии там бестолку) в которой данный вопрос еще не пытались решить, а денег, внезапно, нет - [зачеркнуто: беги оттуда нахрен] - вполне можно попробовать, не догонишь так хоть согреешься - приобретешь бесценный опыт разворачивания подобных штуковин и их сопровождения.
(ну только надо понимать, что "денег нет" - это "нет денег на найм отдельной команды, новый тендер и проект, реализуемый кем-то из интеграторов", а не нет денег на стойку серверов, нет резерва пропускной способности каналов и процессоров на flow, нет денег на зарплату тому кто большую часть своего рабочего времени на это потратит на протяжении полугодика. И сеть не должна быть совсем уж из дерьма и палок.)

Ответить | Правка | Наверх | Cообщить модератору

18. "Система анализа сетевых угроз Metron получила статус первичн..." +/–

Сообщение от лютый жабист__ (?), 26-Апр-17, 08:42

А причём Теле2? В Теле2 в качестве SIEM используется Спланк. И в Циско, если верить Лукацкому, тоже Спланк. Так что видимо вывод: Метрон вещь НЕ стоящая :(

Ответить | Правка | Наверх | Cообщить модератору

20. "Система анализа сетевых угроз Metron получила статус первичн..." +/–

Сообщение от пох (?), 26-Апр-17, 09:19

> А причём Теле2?
привел как пример правильного размерчика - еще не мегафон, где бардак уже не вылечишь, но уже не домсру какой, и потоки летают вполне приличные.
Но оговорился что это о размерчике их обычной, ip, сетки - с 4g сетями нужны специальные средства, интегрируемые в packet core - ловить пакеты между последним свитчом и базовой станцией совершенно бессмысленно, "аномалия" вида "сп-ли бс и воткнули свой ноут в надежде халявного интернета" детектится более простыми средствами ;-)
> В Теле2 в качестве SIEM используется Спланк.
он вроде как энтерпрайз - в смысле, это больше для внутренних ресурсов и пользователей, чем для ловли блох среди клиентов.
В теледве скорее всего именно в этом качестве и используется, а это не очень интересно, ентерпрайз они совсем небольшой.
Мне вот интересней, что использует какой-нибудь hetzner или 1st vds (не к ночи будь помянуты) - у них уже нужно, и уже - сложно.
> И в Циско, если верить Лукацкому, тоже Спланк. Так что видимо вывод: Метрон
> вещь НЕ стоящая :(
ну я бы поигрался, если б было время и вдохновение. Следует понимать, что строчка в резюме "развернул с нуля и использовал по назначению" стоит гораздо дороже "видел интерфейс", даже если следующие буквы совпадают во втором случае.
то есть в метроне интересны именно его свойства обрабатывать действительно большие потоки и тьму разнородных железяк, это в лабораторных условиях оценить не получится.

Ответить | Правка | Наверх | Cообщить модератору

25. "Система анализа сетевых угроз Metron получила статус первичн..." +/–

Сообщение от Аноним (-), 26-Апр-17, 21:21

> для дома для семьи оно чудовищно сложное и меганавороченное
Ну вот на несколько тысяч рыл потестировать нормально... Или как из пушки?.
> но plain ip (настоящей теледве не поможет, учти, ловить аномалии там бестолку) в которой данный вопрос еще не пытались решить, а денег, внезапно, нет - [зачеркнуто: беги оттуда нахрен] - вполне можно попробовать, не догонишь так хоть согреешься - приобретешь бесценный опыт разворачивания подобных штуковин и их сопровождения.
хех. не всегда бежать получается. бывают разные обстоятельства.
> ну только надо понимать, что "денег нет" - это "нет денег на найм отдельной команды, новый тендер и проект, реализуемый кем-то из интеграторов", а не нет денег на стойку серверов, нет резерва пропускной способности каналов и процессоров на flow, нет денег на зарплату тому кто большую часть своего рабочего времени на это потратит на протяжении полугодика
Опа. То есть без интегратора пытаться не стоит - ничего с этой темы не облезет?

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	4. "Система анализа сетевых угроз Metron получила статус первичн..."	+1 +/–
	Сообщение от Аноним (-), 25-Апр-17, 12:43
	Правильные продукты для обеспечения безопасности, в первую очередь "сидят" в изолированой сети без выходы куда либо и "сушают" сеть.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	11. "Система анализа сетевых угроз Metron получила статус первичн..."	+/–
	Сообщение от YetAnotherOnanym (ok), 25-Апр-17, 17:13
	Радости с того, что оно в изолированной, если среди пакетов, выдернутых из трафика для анализа, прилетит такой, который вызовет срабатывание уязвимости?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Система анализа сетевых угроз Metron получила статус первичн..."	+1 +/–
	Сообщение от пох (?), 25-Апр-17, 18:30
	> Радости с того, что оно в изолированной, если среди пакетов, выдернутых из > трафика для анализа, прилетит такой, который вызовет срабатывание уязвимости? эта штука не кормит elastic пакетами из траффика, это не tcpdump. А если тебе кто-то сумеет прислать поддельный netflow-пакетик, то поздравляю шарик, ты балбес - тебе уже не аномалии надо в сети выискивать, а ловить хакера, поимевшего непосредственно сетевую инфраструктуру. Если что, описанная в статье похабень вовсе не для этого. ну и до кучи, эластиковые проблемы обычно со стороны интерфейса, а не со стороны базы. как, собственно, и у hadoop и у прочих.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Система анализа сетевых угроз Metron получила статус первичн..."	+/–
	Сообщение от Аноним (-), 25-Апр-17, 20:48
	Слушай эта вот вещь - metron - хоть стоящая? Или баловство одно?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Система анализа сетевых угроз Metron получила статус первичн..."	+/–
	Сообщение от пох (?), 25-Апр-17, 21:21
	ну, типа, начнем с того, что циска ее - выбросила ;-) Причем довольно давно, там этому OpenSOC уже сто лет в обед. при этом коммерческие продукты у нее никуда не делись, то есть слезать с этой темы они вроде и не собираются (да и опасно, надо ж закрывать своими продуктами целиком проекты, а не отдельные части) для дома для семьи оно чудовищно сложное и меганавороченное (там, собственно, для того все эти эластики с хадупами, чтоб пережевывать какие-то совсем уж терабайтные потоки мусора), то есть это не корпоративное решение. Если у тебя, чисто случайно, завалялась действующая сетка размером этак с tele2, но plain ip (настоящей теледве не поможет, учти, ловить аномалии там бестолку) в которой данный вопрос еще не пытались решить, а денег, внезапно, нет - [зачеркнуто: беги оттуда нахрен] - вполне можно попробовать, не догонишь так хоть согреешься - приобретешь бесценный опыт разворачивания подобных штуковин и их сопровождения. (ну только надо понимать, что "денег нет" - это "нет денег на найм отдельной команды, новый тендер и проект, реализуемый кем-то из интеграторов", а не нет денег на стойку серверов, нет резерва пропускной способности каналов и процессоров на flow, нет денег на зарплату тому кто большую часть своего рабочего времени на это потратит на протяжении полугодика. И сеть не должна быть совсем уж из дерьма и палок.)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Система анализа сетевых угроз Metron получила статус первичн..."	+/–
	Сообщение от лютый жабист__ (?), 26-Апр-17, 08:42
	А причём Теле2? В Теле2 в качестве SIEM используется Спланк. И в Циско, если верить Лукацкому, тоже Спланк. Так что видимо вывод: Метрон вещь НЕ стоящая :(
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Система анализа сетевых угроз Metron получила статус первичн..."	+/–
	Сообщение от пох (?), 26-Апр-17, 09:19
	> А причём Теле2? привел как пример правильного размерчика - еще не мегафон, где бардак уже не вылечишь, но уже не домсру какой, и потоки летают вполне приличные. Но оговорился что это о размерчике их обычной, ip, сетки - с 4g сетями нужны специальные средства, интегрируемые в packet core - ловить пакеты между последним свитчом и базовой станцией совершенно бессмысленно, "аномалия" вида "сп-ли бс и воткнули свой ноут в надежде халявного интернета" детектится более простыми средствами ;-) > В Теле2 в качестве SIEM используется Спланк. он вроде как энтерпрайз - в смысле, это больше для внутренних ресурсов и пользователей, чем для ловли блох среди клиентов. В теледве скорее всего именно в этом качестве и используется, а это не очень интересно, ентерпрайз они совсем небольшой. Мне вот интересней, что использует какой-нибудь hetzner или 1st vds (не к ночи будь помянуты) - у них уже нужно, и уже - сложно. > И в Циско, если верить Лукацкому, тоже Спланк. Так что видимо вывод: Метрон > вещь НЕ стоящая :( ну я бы поигрался, если б было время и вдохновение. Следует понимать, что строчка в резюме "развернул с нуля и использовал по назначению" стоит гораздо дороже "видел интерфейс", даже если следующие буквы совпадают во втором случае. то есть в метроне интересны именно его свойства обрабатывать действительно большие потоки и тьму разнородных железяк, это в лабораторных условиях оценить не получится.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Система анализа сетевых угроз Metron получила статус первичн..."	+/–
	Сообщение от Аноним (-), 26-Апр-17, 21:21
	> для дома для семьи оно чудовищно сложное и меганавороченное Ну вот на несколько тысяч рыл потестировать нормально... Или как из пушки?. > но plain ip (настоящей теледве не поможет, учти, ловить аномалии там бестолку) в которой данный вопрос еще не пытались решить, а денег, внезапно, нет - [зачеркнуто: беги оттуда нахрен] - вполне можно попробовать, не догонишь так хоть согреешься - приобретешь бесценный опыт разворачивания подобных штуковин и их сопровождения. хех. не всегда бежать получается. бывают разные обстоятельства. > ну только надо понимать, что "денег нет" - это "нет денег на найм отдельной команды, новый тендер и проект, реализуемый кем-то из интеграторов", а не нет денег на стойку серверов, нет резерва пропускной способности каналов и процессоров на flow, нет денег на зарплату тому кто большую часть своего рабочего времени на это потратит на протяжении полугодика Опа. То есть без интегратора пытаться не стоит - ничего с этой темы не облезет?
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору