Как писать правила корреляции, чтобы они не сожрали твои ресурсы
SIEM-системы являются весьма востребованным продуктом на рынке информационной безопасности. Но мало просто иметь у себя в компании «сиемку» — необходимо ее правильно «готовить». Как известно, написание правил корреляции — дело непростое, требующее понимание как домена, так и основ программирования. Обычно второе может упускаться, ведь написание логики правила важнее, чем использование более оптимальных конструкций.
Но второй факт сильно влияет на производительность корреляции, количество затрачиваемых ресурсов и скорость работы. В докладе мы рассмотрим плохие и хорошие практики написания правил корреляции. А чтобы разница в используемых конструкциях была более наглядна, будем запускать тесты на производительность, используя опенсорсный плагин для VS Code.
Ксения Змичеровская
R-Vision
5 months ago 00:03:53 1
5 months ago 00:12:21 1
5 months ago 00:01:00 1
5 months ago 00:54:04 1
5 months ago 00:45:27 1
5 months ago 00:45:06 1
5 months ago 00:12:37 1
5 months ago 00:14:53 1
5 months ago 00:28:34 1
5 months ago 01:09:08 1
5 months ago 00:07:08 1
5 months ago 00:13:42 1
5 months ago 00:01:49 1
5 months ago 00:02:01 1
5 months ago 00:00:00 1
5 months ago 00:02:48 1
5 months ago 00:30:41 1
5 months ago 00:24:46 1
5 months ago 00:22:46 1
5 months ago 02:20:43 1
5 months ago 01:20:19 1
5 months ago 00:12:49 1
5 months ago 01:32:19 1
5 months ago 00:16:42 2
