Коллеги, приветствую.
Подскажите, ретро коррелятор и UCS могут на одной Debian-машине жить?

В документации сказано удалять миньона, а вот про мастера ничего...

Добрый день!

В документации принадлежность к серверу можно смотреть по табличкам в аппаратных требованиях.
Например, есть таблица: Аппаратные требования к серверу MP SIEM Server, PT UCS и PT CP
Значит туда можно установить всё это вместе.

И есть другая табличка: Аппаратные требования к серверу PT RC и MP Agent
Значит они ставятся отдельно.

Если Вы хотите объединить несколько компонентов из разных табличек, то соответственно аппаратные требования суммируются. При этом нужно чтобы у них совпадали программные требования по ОС и версии.

> Поддерживаемая операционная система для MP SIEM Server, MP SIEM Events Storage, PT CP, PT UCS и PT RC — Debian 9.12.

Выходит, что да, обеспечив достаточно ресурсов, Вы можете поставить ретро коррелятор и UCS на один сервер.

Благодарю

Смутила просто необходимость в удалении миньона

про миньон да, не просто так написали. Наверное он мешает, а UCS без него не сможет. Уточню этот момент.

Коллеги, всем привет! Подскажите, как посмотреть, кто заполняет табличный список?
У меня есть правило корреляции, в котором есть обращение к списку. Я нашёл данный список, но он пустой. Как понять, кто (какое правило или что именно) его заполняет?

Для начала можно просто поискать по всему контенту упоминания списка

Как я понял поиск работает по названию объектов, но не по содержимому объектов

етсь поиск по регулярке по содержимому

точно, вижу фильтр - текст правила

Коллеги, добрый день! При написании правила корреляции указываю correlation_type="incident", category.generic, category.high, category.low, но после создания инцидента категория и тип "не определен". Где можно почитать про это (в develop и admin гайде не увидел ничего подходящего). Подскажите, пожалуйста, какой алгоритм присвоения категории, типа и поля параметров инцидента? Возможно ли при создании инцидента сразу определить вышеуказанные параметры? Спасибо за внимание))

Incident.category

В описании pdql или девелопгайде

спасибо!

Есть две истории: до R22 и R22 и выше.
Так вот если речь про R22 и выше, то как сказал Роман Категория и тип инцидентов присваивается по полю incident.category, которое должно быть задано в правиле корреляции.
В конструкторе правил корреляции для поля incident.category Вы увидите все доступные поля.
Что на базе их будет присвоено инциденту смотрите по табличке:  ptmpsiem22.0_pdqlsyntax_ru.pdf → 3.2. Классификация инцидентов

Например, в конструкторе правил корреляции задаем "incident.category" = "BotNetCC";
На выходе в соответствии с таблицей в приложении инцидент будет иметь тип "Командный центр бот-сети" и категорию "Атака".

спасибо!

Добрый день!

Уточнил: мы просим удалить salt-minion, потому что есть конфликты совместимости с предустановленным от Debian миньоном.
Однако с тем salt-minion, что мы ставим при установке UCS проблем совместимости нет. Так что при соблюдении требований можно поставить эти компоненты вместе.

Спасибо

@vbengin пинг