HTTP/3 Працює Поверх UDP

Якщо ви економите SIEM ліцензію шляхом виключення UDP трафіку з моніторингу, ви пропускаєте важливий веб трафік. Остання, третя версія HTTP працює на протоколі QUIC, що своєю чергою працює на UDP. Найбільш ймовірно, що ваш трафік як до Google, так і до Cloudflare вже йде через HTTP/3 (UDP).

Для SIEM інженерів це може означати, що виключати UDP з моніторингу стає доволі ризиковано, враховуючи що по HTTP йде більша частина шкідливого трафіку. Для авторів кореляційних правил, перевірте ваші правила, можливо у вас також з 2021 року стоять виключення в стилі transport!=UDP :)