Потоковый коррелятор для обработки более 2 млн EPS

Безопасность

Доклад принят в программу конференции

Целевая аудитория

Cпециалисты ИБ Аналитики SOC Разработчики систем потоковой обработки данных

Тезисы

Современный SOC (Security Operation Center) в BigTech-компании – это сотни систем, миллионы событий и десятки гигабайт событий в секунду. Не каждая SIEM-система способна выдержать такую нагрузку и легко масштабироваться под новые требования растущего бизнеса.

Расскажем, как нам удалось пересобрать систему, чтобы обрабатывать больше 2 млн событий в секунду и хранить суммарно больше 10 петабайт данных в сжатом виде, как мы пришли к идее создания потокового коррелятора на базе Apache Flink, как разработали DSL для написания правил на базе библиотеки Flink CEP и почему отказались от Flink SQL.

Руководитель отдела разработки и внедрения решений ИБ в VK. Принимал участие в разработке AppSec платформы в МТС.

Ведущий разработчик отдела разработки и внедрения решений ИБ. Ранее занимался задачами в области абстрактной интерпретации бинарного кода в ИСП РАН.

Видео