erthink / emanatio
Леонид Юрьев
+ Устаревший, но полезный архивный снимок K2 пятилетней давности.
5 месяцев назад История
README.md

Кратко

Стратегия и дорожная карта для выхода из технологического кризиса, который обусловлен отсутствием в SIEM средств описания «таксономии» и «правил корреляции» адекватным/соответствующим современным теоретическим представлениям и текущему уровню развития продукта и компании.

Предложен путь итеративного/поступательного непрерывного (на ходу) развития, с обеспечением за 3-5 лет большого технологического задела на 10-25 лет и выходом на формирование отраслевого стандарта/платформы для описания SIEM-экспертизы.

Стратегия

  1. Признание проблемы.

    Донести информации о текущей ситуации и сформировать оценку разделяемую большинством экспертов, специалистов, аналитиков, менеджеров и разработчиков. Одновременно предлагаемый здесь план либо принимается к действию с какими-то уточнениями/корректировками, либо расходимся.

    Тезисно:

    • Таксономия не формулирует классы/категории событий и не специфицирует типы их полей.
    • Используемый для описания правил корреляции диалект языка XP (eXtraction & Processing) не оперирует классами/категориями событий, типами полей и опирается на императивную парадигму.
    • Каскад препятствий и затруднений, как при создании и поддержке правил корреляции экспертами/пользователями, так и при их верификации/расчете/оптимизации машиной.
    • В результате: (1) непоследовательность и усложнение правил корреляции, увеличение количества упущений и ошибок, снижение производительности экспертов, неудовлетворенность пользователей, недовольство специалистов низким технологическим уровнем поставляемых решений, (2) существенные затруднения при анализе, верификации, оптимизации и вычислении правил корреляции машиной, (3) лишние накладные расходы при обработке машиной и снижение производительности на порядки относительно теоретически достижимых значений.

  2. Постановка высоких долгосрочных целей.

    Сформировать целостное и согласованное видение «светлого будущего»: как правильно с точки зрения теории, как должно быть «от практики», куда хотим и куда можем прийти при технологическом развитии. Тактически необходимо сформулировать завышенные технологические ориентиры, с последующим рациональным и взвешенным отказом от лишнего и/или не реализуемого.

    Обоснование:

    • Нерационально и неинтересно отказываться от амбиций сделать лучшее.
    • Доработки поменяют «генетику» экспертизы, вытолкнут её на новую высокую орбиту, но на это потребуется немало усилий и времени.
    • Нам доступен только итеративный/поступательный путь, так как даже «волшебно» переписав весь продукт с чистого листа, мы никак не сможем достаточно быстро обновить/сконвертировать правила корреляции написанные пользователями.
    • Видя итоговую технологическую цель можно планировать и корректировать промежуточные точки, срезать и закруглять углы, обходить препятствия рационально возвращаясь к цели.

    От противного:

    • Без долгосрочный целей возможно только краткосрочное планирование в виде «прыжков на ближайшую точку» и «гашению пожаров», что увеличивает риски попадания в технологический тупик и в целом соответствует стратегии выживания в условиях дефицита ресурсов или стагнации, а НЕ оптимальной/рациональной стратегией развития.

  3. Исполнение дорожной карты.

    Сформировать, верифицировать и пройти дорожную карту эволюционного развития. Очевидно что всё определяет “дорожной картой”, в том числе её хорошей проработкой, рациональной детализацией и доходчивостью формулировок.

    Эскиз дорожной карты готов и уже был представлен/анонсирован. В текущем понимании, есть путь обеспечивающий смену языков описания и средств/инструментария поддержки таксономии и правил корреляции, без остановки релизов. Идёт проработка деталей и выписывание формулировок.

Этот документ/текст будет дополнятся по мере продвижения работы. Спасибо за внимание.

Описание

Markdown
Readme
0 Форки
0 Звезд
0 Наблюдатели
Конвейеры
0 успешных
0 с ошибкой