HTTP/3 Працює Поверх UDP

Якщо ви економите SIEM ліцензію шляхом виключення UDP трафіку з моніторингу (ну бо і так один стрімінг з DNS), ви пропускаєте веб трафік. Остання, третя версія HTTP працює на протоколі QUIC, що своєю чергою працює на UDP. Найбільш ймовірно, що ваш трафік як до Google, так і до Cloudflare вже йде через HTTP/3.

Для SIEM інженерів це може означати, що виключати UDP з моніторингу стає доволі ризиковано, враховуючи що по HTTP йде більша частина шкідливого трафіку. Для авторів кореляційних правил, перевірте ваші правила, можливо у вас також з 2021 року стоїть виключення в стилі transport!=UDP :)