Elastic SIEM – 역시 기대를 저버린다.

시그널 92개에 브라우저가 죽을려고 한다. 크롬을 쓰고 있는데도 이러면 IE에서는 동작도 안할 것 같다. 역시 ELK는 오픈소스라서 QC를 제대로 거치지 않고 나오는것 같다. SIEM에서 사용하는 Alert는 Elasticsearch에서 동작하는게 아니라 Kibana에서 동작한다. 그래서 Kibana 프로세스가 죽으면 동작하지 않게 된다.

SIEM 운영자 입장에선 이건 납득 못하는 구조다.

이걸 쓸바엔 https://github.com/GamjaPower/ELP 이걸 조금 더 개선시키는게 좋을것 같다.

하지만, ECS는 너무 잘 만들었다. 게다가 filebeat에서 알아서 필드 표준화까지 해준다.