Потоковый коррелятор для обработки более 2 млн EPS
Доклад принят в программу конференции
Целевая аудитория
Тезисы
Современный SOC (Security Operation Center) в BigTech-компании – это сотни систем, миллионы событий и десятки гигабайт событий в секунду. Не каждая SIEM-система способна выдержать такую нагрузку и легко масштабироваться под новые требования растущего бизнеса.
Расскажем, как нам удалось пересобрать систему, чтобы обрабатывать больше 2 млн событий в секунду и хранить суммарно больше 10 петабайт данных в сжатом виде, как мы пришли к идее создания потокового коррелятора на базе Apache Flink, как разработали DSL для написания правил на базе библиотеки Flink CEP и почему отказались от Flink SQL.
Руководитель отдела разработки и внедрения решений ИБ в VK. Принимал участие в разработке AppSec платформы в МТС.
Ведущий разработчик отдела разработки и внедрения решений ИБ. Ранее занимался задачами в области абстрактной интерпретации бинарного кода в ИСП РАН.
Видео
Другие доклады секции
Безопасность