— Жизнь — боль: как внедрить новое решение на тысячи машин и выжить.
— Как мы уходили от legacy: отказываемся от linux audit в пользу eBPF.
— Адаптируем cloud native решение под всю инфраструктуру.
— Процессим миллионы событий в секунду на ksqlDB в режиме реального времени.
— ksqlDB: снижаем издержки на разработку и повышаем автономность SOC.
— Разбираемся в структуре системных, файловых и сетевых событий в поисках профита.
— Приоритезируй, доминируй, детектируй по MITRE.
— Двойная перегонка событий для крепкого детекта в SIEM. — Алёрты, инциденты и метрики.
— Как мы уходили от legacy: отказываемся от linux audit в пользу eBPF.
— Адаптируем cloud native решение под всю инфраструктуру.
— Процессим миллионы событий в секунду на ksqlDB в режиме реального времени.
— ksqlDB: снижаем издержки на разработку и повышаем автономность SOC.
— Разбираемся в структуре системных, файловых и сетевых событий в поисках профита.
— Приоритезируй, доминируй, детектируй по MITRE.
— Двойная перегонка событий для крепкого детекта в SIEM. — Алёрты, инциденты и метрики.
00:00 | Тимур Котов и Иван Клунный: XD(R) своими руками
01:58 | Задачи
04:26| Про Linux-аудит
07:26 | Какие есть альтернативы
07:59 | Linux eBPF
10:16 | Почему в итоге выбрали SysFlow
12:32 | Data delivery
14:24 | Процессинг
17:26 | Цифры
18:07 | Как работаем с детектами в новом пайплайне
24:08 | Вопросы: ведётся ли анализ трафика?
24:42 | Пользуются ли Тимур и Иван Kafka Intersetters?
5:19 | О корреляторах
27:27 | О нормализации событий регулярками
27:58 | Какая численность команды проекта?
28:30 | Почему начали писать своё решение?
29:31 | Как Тимур и Иван раскатывают решение на конечные хосты?
30:15 | Сколько времени заняло создание решения?
01:58 | Задачи
04:26| Про Linux-аудит
07:26 | Какие есть альтернативы
07:59 | Linux eBPF
10:16 | Почему в итоге выбрали SysFlow
12:32 | Data delivery
14:24 | Процессинг
17:26 | Цифры
18:07 | Как работаем с детектами в новом пайплайне
24:08 | Вопросы: ведётся ли анализ трафика?
24:42 | Пользуются ли Тимур и Иван Kafka Intersetters?
5:19 | О корреляторах
27:27 | О нормализации событий регулярками
27:58 | Какая численность команды проекта?
28:30 | Почему начали писать своё решение?
29:31 | Как Тимур и Иван раскатывают решение на конечные хосты?
30:15 | Сколько времени заняло создание решения?
Презентация Ивана и Тимура: https://clc.to/PzU3bw
Другие доклады с митапа: https://www.youtube.com/playlist?list=PLknJ4Vr6efQH-EOYi9XGKZ-HJvQo3IHue
Другие доклады с митапа: https://www.youtube.com/playlist?list=PLknJ4Vr6efQH-EOYi9XGKZ-HJvQo3IHue
