EDRP (Endpoint Detection and Response Platform) - платформа, предназначенная для обработки и реагирования на события, поступающие с конечных устройств всей инфраструктуры Сбера. В EDRP реализованы механизмы предобработки и обогащения событий, а также конструктор правил детектирования для выявления комплексных киберугроз. Алерты, полученные в результате работы правил детектирования проходят этап дедупликации и обогащения, а также могут вызвать автоматический сценарий реагирования, который настраивается для каждого правила индивидуально. Также EDRP предоставляет все необходимые инструменты для проведения расследований по собранным данным в случае возникновения инцидентов. Разработанная платформа на ежедневной основе используется подразделениями Кибербезопасности Сбера.
Технологический стек
• Java, React
• сбор и обработка данных с источников с помощью Apache NiFi
• хранение данных посредством PostgreSQL и Clickhouse
• потоковая обработка данных с исползьованием Apache Flink
• мониторинг и журналирование: Prometheus, Grafana, ELK.
Будет плюсом если, не первый раз слышите такие слова: Java, Python, Nginx, Apache Flink, Kafka, Apache NiFi, Elastic.