<div dir="ltr"><div><div><div style="font-size:16px;color:rgb(49,49,49);word-spacing:1px" dir="auto"><div dir="auto" style="font-size:1rem">>From practical detection and response  standpoint:</div></div><div dir="auto" style="font-size:1rem;color:rgb(49,49,49);word-spacing:1px">1) no egress monitoring at network level means very limited clue on first signs of trouble and timeline</div><div dir="auto" style="font-size:1rem;color:rgb(49,49,49);word-spacing:1px">2) network traffic monitoring can point out anomalies very early on. </div><div dir="auto" style="font-size:1rem;color:rgb(49,49,49);word-spacing:1px">3) the idea that because a vendor has painted a solution architecture where everything logs centrally or EDR works all the time is imaginary. Netflows/Tiered network meta-data provides a solid fallback. </div><div dir="auto" style="font-size:16px;color:rgb(49,49,49);word-spacing:1px"><br></div><div dir="auto" style="font-size:1rem;color:rgb(49,49,49);word-spacing:1px">The biggest problem with network monitoring is “cloud”. There is less and less to monitor </div></div><div dir="auto" style="font-size:1rem;color:rgb(49,49,49);word-spacing:1px"><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, 6 Sep 2019 at 12:15, Anton Chuvakin <<a href="mailto:anton@chuvakin.org" target="_blank">anton@chuvakin.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr">Wow, indeed, so 2007, this brings back memories .... <div><br></div><div>But on a more serious note: do you guys truly think that network security monitoring (whether NIDS, network forensics / capture, "NTA / NDR", Bro / Zeek and such) is "dead dead"? And there no hope for any zombie-apocalypse-style revival? :-)</div></div><br>
</blockquote></div></div>
</div>
</div>