R
А оно требует колонки определённого типа в табличном списке)
Size: a a a
2020 August 12
R
Это всё лень и странные запросы Заказчиков(
RS
поиск по регуляркам, хранящимся в табличных списках, работает только на колонках специального типа данных в ТС типа "справочник"
причины:
1) необходимость валидации контента ТС (плохие регулярки не нужны, непонятно как сообщать о проблемах на этапе времени выполнения)
2) технологически все эти регулярки собираются вместе и обрабатываются Hyperscan-ом. Процесс сборки и "компиляции" довольно дорог и слабо совместим с динамическими списками
причины:
1) необходимость валидации контента ТС (плохие регулярки не нужны, непонятно как сообщать о проблемах на этапе времени выполнения)
2) технологически все эти регулярки собираются вместе и обрабатываются Hyperscan-ом. Процесс сборки и "компиляции" довольно дорог и слабо совместим с динамическими списками
NA
Ага, Hyperscan-таки :) Будьте внимательны, он очень любит память :)
NA
кушать память )
RS
мы знаем )
NA
Написал, чтоб еще кто-то об этом знал ))) Есть у меня один проектик, где я либу от Intel использую :) Шустрая штука, но не шибко детерминированная по памяти.
R
Задача на самом деле такова - есть datafield который содержит путь с аргументами и идентификаторами, включая имя исполняемого файла. И есть правило корреляции, которое поддерживает внесение исключений (23 релиз), MITRE_ATTCK_whitelist. Вот есть задача организовать еще исключение по .exe из датафилда, чтобы красиво и через табличные списки. Тут, собственно, нужно искать в datafield кусок строки, указанной в табличном списке. Можно править нормализацию, можно пробовать написать обогащение, можно завести еще один табличный список с колонкой спец. типа и делать регулярками. Вопрос в том, как лучше всего? :)
RS
скоро будет MITRE_ATTCK_whitelist с регулярками как раз под такие сценарии
R
Ну, тут надо здесь и сейчас. Так что как я понял расширяем табличный список MITRE_ATTCK_whitelist (или делаем еще один) и работаем с регулярками
R
Спасибо)
2020 August 13
Y
Y
Перепутал в wef
AI
добрый день, проводим пилот и при добавлении актива пишет "Актив уже существует, но доступ к нему запрещен. Обратитесь к администратору системы." При просмотре активов, данного актива нет. Где копать и что искать?
RS
Прав хватает? Из под админа тоже не видно?
I
Коллеги,а можно в запросе фильтра указывать время? Мне нужны все события, призошедшие с 4 до 6 утра каждый день за последний месяц.
30 раз переставлять дату - не варик.
30 раз переставлять дату - не варик.
A
Коллеги,а можно в запросе фильтра указывать время? Мне нужны все события, призошедшие с 4 до 6 утра каждый день за последний месяц.
30 раз переставлять дату - не варик.
30 раз переставлять дату - не варик.
в фильтре время запрещено указывать
I
I
А как выгрузить инциденты за последний год с полями id инцидента и correlation name?
v
Подскажите пожалуйста, как искать события регистроезависимо? читал в админ гайде, что можно менять настройки компонента сиема, но это глобальная настройка, а можно ли в запросе указать как-то?