К
User and Entity Behavior Analytics звучит лучше
Size: a a a
2019 February 19
M
User and Entity Behavior Analytics звучит лучше
Там аббревиатура матерная))))
К
Mouser
Там аббревиатура матерная))))
Я и говорю - звучит лучше :)
SK
Она даже не просто была, а ещё и интегрировалась с ES.
RS
мне в своё время понравилась статья на хабре от Крока
про потребные для функционирования уеб-систем ресурсы в сравнении с классическим SIEM-ом :)
https://habr.com/ru/company/croc/blog/420293/
про потребные для функционирования уеб-систем ресурсы в сравнении с классическим SIEM-ом :)
https://habr.com/ru/company/croc/blog/420293/
M
Я думал она с сиемом вместе работает, тогда все крутр
RS
это же исходно самостоятельный продукт, который был куплен Спланком вместе с компанией
интеграция там прикручена потом и немного сбоку
интеграция там прикручена потом и немного сбоку
RS
точнее, логи из Спланка оно могло брать с самого начала, если мне память не изменяет
SK
Жаль что с фантомом (SOAR-решение) интеграция была условной весьма. Но сейчас это всё уже не важно)
M
Помянем!
a
Добрый день. Подскажите, пожалуйста, что определяет параметр plain parser в профилях сбора данных от dhcp и от dns?
RS
Этот модуль умеет собирать данные из файлов разной структуры. Это указание парсеру на конкретный метаформат, грубо говоря. Трогать его в данном случае ни к чему
a
Этот модуль умеет собирать данные из файлов разной структуры. Это указание парсеру на конкретный метаформат, грубо говоря. Трогать его в данном случае ни к чему
А могу ли я через этот модуль выбирать из логов только события, относящиеся к конкретной подсети?
2019 February 20
RS
если получится придумать такой regexp
вообще, это задача для SIEM light (на агенте) скорее
вообще, это задача для SIEM light (на агенте) скорее
a
если получится придумать такой regexp
вообще, это задача для SIEM light (на агенте) скорее
вообще, это задача для SIEM light (на агенте) скорее
То есть в plain_parser надо указывать регулярное выражение, соответствие которому будет искаться в содержимом лога?
RS
В skip chunk. То, что не надо парсить. Но он исходно для скипания всяких хедеров и комментов придуман - надо проверять.
Реально, это так себе идея. Фильтровать лучше после нормализации
Реально, это так себе идея. Фильтровать лучше после нормализации
V
коллеги, почему mp siem использует такую старую версию es?
V
она же напрочь устарела
К
вообще фильтровать лучше на wef
RS
Текстовый Dhcp?