Blog

Blindspotter

Blindspotter-IT-Szakmai-Blog-02

Minap végre, annyi idő és meghiúsult próbálkozás után eljutottam a Hétpecsét egyesület egy rendezvényére. Itt egyből több, pozitív meglepetés is ért. Remekül szervezett, összeszedett – és főleg moderált – összejövetelen vehettem részt. Előzetesen marketing-háborúra számoltam, de valahogy nem volt teljesen ilyen érzetem, s senki sem próbált meg elúszni időben sem. A tartalom érdekes és válogatott volt – valószínűleg nem első alkalommal, mert a nagyszámú megjelent sokadszorra nem vett volna részt egy ilyen összejövetelen.

Blindspotter-IT-Szakmai-Blog-03

Témák közül a BalaBit újítását emelném ki, melyről végre élő szóban is hallottam. Nagyon meggyőző háttéranyag állt elő a Blindspotter termékfejlesztés köré. Egy valóban használható és sokrétű megoldással találkozhatunk, ami remekül illeszkedhet a meglevő infrastruktúrába. A gyűjtő (Syslog-NG) és megfigyelő (SCB) képességeinek kihasználásával valóban valami újat tud mutatni az elburjánzott informatikai környezet jobb kezelhetősége érdekében. Nem célja a kontrollok lekövetése, hanem inkább az eltérések feltárására koncentrál. A kontroll és környezet folyamatosan változhat, de az emberek sokkal lassabban változnak.

Blindspotter-IT-Szakmai-Blog-04Valódi hidat képezhet a gyűjtő és a SIEM szint között, hiszen nagyon sok és hasznos információval előzetesen kiegészíti az információt.

Blindspotter-IT-Szakmai-Blog-05

Valós fókusz pontok kijelölésével érdemi információt képes átadni, mellyel hatékonyabban használhatóak fel a szűkös ellenőrzési erőforrások. Az általános szabályok és beállítások hatására könnyen és gyorsan érhetünk el eredményeket, melyek segítségével kockázatok és fontossági szintek jellemzőivel bőven elvértezett események kerülnek fel a következő szintre, ahol elkezdődhez a kivizsgálás. A vizsgálat fókusza így jobban meghatározható. Valós lehetőség egy nagy problémára, mely rangsorolásban tud segíteni, így valós eszközökkel nyomhatja el a zajt az érdekes történések és eseményláncok mellől. Ez egyben azt is jelenti, hogy kevesebb erőforrást kell feláldoznunk a zaj kezelését végző szabályok előkésztésére és gondozására SIEM oldalon, így több erőforrás marad a kiértékelésre.

Kis-Szabó András Riasztó és megfigyelő rendszerek, beágyazott rendszerek, IOT

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.