In-Reply-To: <[email protected]> Content-Type: text/plain; charset=ISO-8859-1; format=flowed Content-Transfer-Encoding: 8bit
Marco Ermini ha scritto: > 2009/10/30 Samuele Battistoni: > [...] > >> Sarà per deformazione professionale, ma un vedo una grossa differenza fra la >> gestione di un SIEM e quella di un IPS: >> >> Mediamente ho visto realtà con dietro l'IPS sistemi "abbastanza" standard; >> in questo caso puoi accontentarti di una configurazione consigliata dal >> vendor e fare un po' di tuning per le tue esigenze specifiche: rilevi un >> migliaio di attacchi noti e aggiungi le tue 10-15 personalizzazioni in più o >> meno. >> > > Per esperienza, le configurazioni "abbastanza" standard hanno un 50% > di falsi positivi, il che può andar bene se è un IDS ma non se è un > IPS - non si gestiscono esattamente allo stesso modo... > > quindi mi confermi che servono prodotti seppur all-in-one che tengano separato ids (log/rilevamento) da ips (block/deflect) ? questo mi regala una grossa soddisfazione > Il vero lavoro è la personalizzazione che in ambiente enterprise è > molto di più che "10-15 personalizzazioni". Quelle vanno bene per il > singolo Snort che protegge alcuni server, forse. > > > > Io invece vorrei lavorare in grandi aziende alla personalizzazione di > SIEM, IDS/IPS, Arbor Peakflow e Firewall in modo "organico", che è un > po' di più che scrivere 15 Open Signature ;-) > > > fantastico, sulla stessa scia poter lavorare con la parte application firewall, ids/ips e con la gestione avanzata delle connessioni di Sonicwall assieme alla gestione log di Solera potrebbe essere uno scalino magari un poco più basso ma altrettanto interessante ?! >> My 2 cents, >> Samuele >> > > Cristiano Cafferata > Cordiali saluti >
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
