Глубины SIEM: корреляции «из коробки». Часть 4. Модель системы как контекст правил корреляции

Представьте ситуацию: вы потратили много времени на написание и отладку правил корреляции, а через день обнаружили, что они не работают. Как говорится, никогда такого не было и вот опять! После выясняется, что ночью сеть в очередной раз модернизировали, а парочку серверов заменили, но правила корреляции этого не учитывают. В этой статье мы расскажем, как научить SIEM адаптироваться к постоянно изменяющемуся ландшафту инфраструктуры.

Читать дальше →

source https://habr.com/ru/post/441098/?utm_campaign=441098