SIEM-гуру Антон Чувакин перешел с должности вице-президета Gartner на новую позицию в Google Chronicle, и опубликовал интересную статью «Хранение логов в течение года: скучно или полезно?» (англ.).
Следующая цитата раскрывает идею и пользу решения Anomali Enterprise:
«давайте попробуем задать вопрос по-другому: «Как долго логи могут быть полезными и активно использоваться, если вам не нужно платить за хранение?». Если задать вопрос в такой формулировке и расширить его с простых логов до, скажем, логов EDR и сетевого трафика, то ответ начинает выглядеть по-другому. Детекции на основе анализа шестимесячных данных не так уж редки, особенно для наиболее высокопрофильных злоумышленников. Вы действительно можете найти доказательства вторжения в прошлогодних данных, используя новую информацию, полученную сегодня. Подсказка для хантинга, которую вы получили сегодня, может стать той самой нитью, потянув за которую, вы найдете пресловутую APT в вашей среде.
Итак. Вывод: хранение логов в течение одного года является одновременно и скучным регуляторным требованием, и ключевым ресурсом для обнаружения наиболее серьезных угроз.»
Однако стоить добавить, что даже следуя логике Антона, 12 месяцев может быть недостаточно. Возможно, более верным сроком будет три года, или даже больше, в зависимости от критичности защищаемых вами ресурсов. Не менее важны функции эффективной интеграции той самой информации об угрозах, или киберразведки, в систему ретроспективного анализа, а также возможность моментального поиска индикаторов по большим массивам журнальных данных. Все три функции как раз и является отличительными особенностями решения Anomali Enterprise.
Чтобы узнать больше и протестировать решения Anomali, обращайтесь к дистрибьютору Тайгер Оптикс или авторизованным системным интеграторам.