В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MaxPatrol SIEM

979 membersпожаловаться на группу
2020 June 05

e

e6e6e in MaxPatrol SIEM
Я бы накостылил одним из 2 способов:
1. Каскадная корреляция - первая с with diferent ip, вторая с with diferent host.
2. Обогащением склеивать в одно поле и на него применять with diferent.
источник
12:10пожаловаться#1

SR

Sergey Rybkin in MaxPatrol SIEM
Saeed Alloubani
Morning All. is is normal to have an event that is not normalized while it is a windows eventlog? shouldnt this be covered already as basic normalization for windows?
Yep, it's normal
Not all wineventlog events have normalization rules by default at SIEM
источник
12:11пожаловаться#2

e

e6e6e in MaxPatrol SIEM
Дмитрий
Фильтр не поможет, по идее. Фильтр только отбросит "лишние" события. Сейчас буду тестировать так: ((Event[2] with diferent ip) and (Event[2] with diferent host))
У вас же ещё какой-нибудь timer|within написан, да?
источник
12:14пожаловаться#3

SA

Saeed Alloubani in MaxPatrol SIEM
Sergey Rybkin
Yep, it's normal
Not all wineventlog events have normalization rules by default at SIEM
Thanks Sergey!
источник
12:24пожаловаться#4

Д

Дмитрий in MaxPatrol SIEM
e6e6e
У вас же ещё какой-нибудь timer|within написан, да?
Да, конечно. СИЕМ должен жить :-)
источник
12:32пожаловаться#5

Д

Дмитрий in MaxPatrol SIEM
e6e6e
Вероятно, такая последовательность будет фолзить (FP), например, у вас прилетело 2 Event с разными IP и ещё 2 Event c разными host.
Подумал над таким развитием... Теоретически, если с одним логином прилетит 4 события (2 с одним ИП, но разными хостнэймами и 2 с разными ИП но одинаковыми хостнэймами)... возможно, вы и окажетесь правы. Но если такое прилетит от одного логин в адекватный промежуток времени, то тут "сам бог велел выпустить инцидент..." и баг превратится в фичу ))
источник
12:35пожаловаться#6

e

e6e6e in MaxPatrol SIEM
Дмитрий
Подумал над таким развитием... Теоретически, если с одним логином прилетит 4 события (2 с одним ИП, но разными хостнэймами и 2 с разными ИП но одинаковыми хостнэймами)... возможно, вы и окажетесь правы. Но если такое прилетит от одного логин в адекватный промежуток времени, то тут "сам бог велел выпустить инцидент..." и баг превратится в фичу ))
Вы правы - с FP я промахнулся.
Но у вас закрытый квантификатор, возможен FN. Я бы рекомендовал оставить открытый квантификатор ([2,]) и поставить timer. Ну и проверить на тестовой выборке событий, что правило не фолзит в обе стороны )
источник
13:22пожаловаться#7

🅳

🅳Ⓐ🅽 in MaxPatrol SIEM
Коллеги, есть ли сейчас смысл переходить с 21.0 на последнюю 22 сборку? Она стабильно работает?
Или подождать 23 ? И можно ли прыгнуть с 21 на 23?
источник
13:28пожаловаться#8

Д

Дмитрий in MaxPatrol SIEM
e6e6e
Вы правы - с FP я промахнулся.
Но у вас закрытый квантификатор, возможен FN. Я бы рекомендовал оставить открытый квантификатор ([2,]) и поставить timer. Ну и проверить на тестовой выборке событий, что правило не фолзит в обе стороны )
Ну, во многом вы оказались и правы. Эта конструкция фолзит гарантировано. Она выпускает инцидент по 4-м событиям, подбирая из них пару под левое условие и пару под правое условие. (
источник
13:33пожаловаться#9

e

e6e6e in MaxPatrol SIEM
Дмитрий
Ну, во многом вы оказались и правы. Эта конструкция фолзит гарантировано. Она выпускает инцидент по 4-м событиям, подбирая из них пару под левое условие и пару под правое условие. (
Коррелятор это чистая магия )
Поэтому я придерживаюсь подхода - лучше сделать более предсказуемую конструкцию правила, в ущерб небольшого проседания производительности, чем словить FN.
источник
13:37пожаловаться#10

DG

Digital God in MaxPatrol SIEM
Коллеги, при обновлении с 21.1.2939 до 22.0.3160 отвалилась Knowledge base, совсем (на рисунке).
Схему полей событий не обновить, а в остальном обновление без ошибок прошло на всех инсталляторах.
Кейс в поддержку завел, но может кто-то сталкивался уже с подобным?
источник
13:40пожаловаться#11

DG

Digital God in MaxPatrol SIEM
🅳Ⓐ🅽
Коллеги, есть ли сейчас смысл переходить с 21.0 на последнюю 22 сборку? Она стабильно работает?
Или подождать 23 ? И можно ли прыгнуть с 21 на 23?
Ну, я попытался)
источник
13:41пожаловаться#12

Д

Дмитрий in MaxPatrol SIEM
e6e6e
Коррелятор это чистая магия )
Поэтому я придерживаюсь подхода - лучше сделать более предсказуемую конструкцию правила, в ущерб небольшого проседания производительности, чем словить FN.
Есть ещё мысль по квантификатору: [2,2], но что-то я сомневаюсь... ((
источник
13:41пожаловаться#13

В

Вячеслав in MaxPatrol SIEM
Уважаемые коллеги, добрый день! Просьба помочь
источник
14:23пожаловаться#14

В

Вячеслав in MaxPatrol SIEM
Во время фильтрации вложений обнаружены файлы:\r\n
 //body.7z//EMS-LOG-FILE.gz - Запрещенный формат\r\n
 //body.7z//audit-mlog.txt.gz - Запрещенный формат\r\n
 //body.7z//auditlog.txt.gz - Запрещенный формат\r\n
 //body.7z//sp-mgmt-mlog.txt.gz - Запрещенный формат\r\n
 //body.7z//raid-rastrace.tgz - Запрещенный формат\r\n
источник
14:23пожаловаться#15

В

Вячеслав in MaxPatrol SIEM
Как распарсить данный массив
источник
14:23пожаловаться#16

В

Вячеслав in MaxPatrol SIEM
количество строк меняется
источник
14:24пожаловаться#17

В

Вячеслав in MaxPatrol SIEM
Я думал что можно через цикл, но как его в siem сделать, каким оператором, не знаю и найти не могу
источник
14:24пожаловаться#18

В

Вячеслав in MaxPatrol SIEM
Строк типа //body...// может быть больше или меньше
источник
14:25пожаловаться#19

В

Вячеслав in MaxPatrol SIEM
Понятен ли вопрос, нужно ли что то пояснить?
источник
14:26пожаловаться#20