— Жизнь — боль: как внедрить новое решение на тысячи машин и выжить. — Как мы уходили от legacy: отказываемся от linux audit в пользу eBPF. — Адаптируем cloud native решение под всю инфраструктуру. — Процессим миллионы событий в секунду на ksqlDB в режиме реального времени. — ksqlDB: снижаем издержки на разработку и повышаем автономность SOC. — Разбираемся в структуре системных, файловых и сетевых событий в поисках профита. — Приоритезируй, доминируй, детектируй по MITRE. — Двойная перегонка событий для крепкого детекта в SIEM. — Алёрты, инциденты и метрики.
00:00 | Тимур Котов и Иван Клунный: XD(R) своими руками 01:58 | Задачи 04:26| Про Linux-аудит 07:26 | Какие есть альтернативы 07:59 | Linux eBPF 10:16 | Почему в итоге выбрали SysFlow 12:32 | Data delivery 14:24 | Процессинг 17:26 | Цифры 18:07 | Как работаем с детектами в новом пайплайне 24:08 | Вопросы: ведётся ли анализ трафика? 24:42 | Пользуются ли Тимур и Иван Kafka Intersetters? 5:19 | О корреляторах 27:27 | О нормализации событий регулярками 27:58 | Какая численность команды проекта? 28:30 | Почему начали писать своё решение? 29:31 | Как Тимур и Иван раскатывают решение на конечные хосты? 30:15 | Сколько времени заняло создание решения?