kotik0bat 26 сен 2024 в 12:46

В вашем SIEM Detection as a Code есть? Нет? Сейчас будет

7 мин

3.2K

Блог компании Ozon TechИнформационная безопасность*Анализ и проектирование систем*IT-инфраструктура*Управление разработкой*

Кейс

+51

Комментарии 11

ml_or_lm 26 сен 2024 в 13:17

"в самих YAML-объектах указываем тех, кому предоставляем доступ"
автоматизация в этом моменте есть же? или руками?

kotik0bat 27 сен 2024 в 10:29

:hide_pain:

Пока не думали над этим, так сказать либо все недоступно по умолчанию либо каждый раз обдумываем давать/не давать доступ.

Какого-то дискомфорта не замечали, но поразмышлять об этом будет неплохо!

Aquahawk 26 сен 2024 в 13:47

YAML — формат дружелюбный для пользователя

самая большая ложь в современном IT. Ну или одна из самых больших.

sukharichev 26 сен 2024 в 22:08

Это что же, вы не ощуаете его дружелюбия, когда из-за одного пробела все падает?
Или, может, вам не дружелюбно, когда дебажите плейбуку, и считаете пробелы в разных строках за пределами одного экрана, и никак не можете сообразить, сколько же их должно быть, с учетом вложенности элементов? Да вы просто ничего не понимаете в дружелюбии!

kotik0bat 27 сен 2024 в 10:32

После конфигов нашей SIEM для нас это верх дружелюбия! Но при разработке мы немного пострадали от неочевидности поведения))

Но читать их на самом деле удобно!

sukharichev 27 сен 2024 в 21:40

Это факт. Человекочитаемый, но не очень человекописа́емый :)

AlexeyK77 26 сен 2024 в 14:36

Далеко не каждая SIEM умеет подгружать правила из текстового формата. Например у QRADAR так не умеет, там легаси бинарный формат, который годится только для процедур backup-restore.

Но идея классная, сам о такой думал, но костылить qradar пока нет ресурсов.