A
Все так вкусно
Коллеги, выгружаю лог в sdkgui, все парсится, делаю копипаст из sdk в сием - ничего не парсиься (сделал валидацию и установку в сием)
Подскажите, на что внимание обратить?
Size: a a a
2020 August 22
2020 August 24
v
v
Локализации написано несколько штук к правилу по формату
id = " " and action = " "
id = " " and action = " "
m
Коллеги, выгружаю лог в sdkgui, все парсится, делаю копипаст из sdk в сием - ничего не парсиься (сделал валидацию и установку в сием)
Подскажите, на что внимание обратить?
Подскажите, на что внимание обратить?
А если выгрузить сырые в json и поточным нормалищатором в SDK gui прогнать? (Вторая вкладка)
v
Я выгружал сырые через экспорт дата и импортировал этот файл прям в sdkgui, он сам очистил от ненужных полей и экранирования кавычек
v
Так не пойдёт?)
v
Потом попробовал ещё то, что в интерфейсе сиема как ненормализованное выглядит, скопировать из интерфейса и в сдк прогнать - парсит
m
Для разработки пойдет. Я просто предлагаю этот же фай прогнать поточным нормалищатором на полном или частичном скомпилированном графе
R
Добрый день, подскажите, пожалуйста - при импорте отчётов из mp8 есть лимиты по размеру отчёта?)
R
Или вот, может кто подскажет кто какие загружал?)
m
RB
Добрый день, подскажите, пожалуйста - при импорте отчётов из mp8 есть лимиты по размеру отчёта?)
С большими могут быть проблемы , лучше делать меньше 1гб
R
Спасибо, вот тоже так подумал
N
Тимур Зиннятуллин, руководитель практики отдела систем мониторинга и реагирования группы компаний Angara, рассказал о том, как изменились MaxPatrol SIEM и работа с ним за 5 лет.
Содержание:
- какие задачи решает отдел систем мониторинга и реагирования ГК Ангара
- как заказчики выбирают SIEM-системы
- ключевые изменения в MaxPatrol SIEM, которые порадовали интегратора
- в чем он опережает зарубежных конкурентов
- необычные сценарии работы с MaxPatrol SIEM из практики
- будущее SIEM-систем
Содержание:
- какие задачи решает отдел систем мониторинга и реагирования ГК Ангара
- как заказчики выбирают SIEM-системы
- ключевые изменения в MaxPatrol SIEM, которые порадовали интегратора
- в чем он опережает зарубежных конкурентов
- необычные сценарии работы с MaxPatrol SIEM из практики
- будущее SIEM-систем
2020 August 25
C
Добрый день! Сделали правило обогащения которое собирает информацию об аутентификации пользователей, они добавляются в таблицу все норм. Но есть ещё одна таблица с конкретно указанными УЗ. Цель такова, чтобы обогащение было по этим конкретным уз. Пробовали пару функций добавлять, но после них обогащение не работает. Согласно документации добавляли например exec_query(«правило обогащения», [subject.name]), но не работает. Может делал кто нибудь что то похожее?
e
Добрый день! Сделали правило обогащения которое собирает информацию об аутентификации пользователей, они добавляются в таблицу все норм. Но есть ещё одна таблица с конкретно указанными УЗ. Цель такова, чтобы обогащение было по этим конкретным уз. Пробовали пару функций добавлять, но после них обогащение не работает. Согласно документации добавляли например exec_query(«правило обогащения», [subject.name]), но не работает. Может делал кто нибудь что то похожее?
Добрый!
А описали exec_query в начале правила?
ЗЫ
В вызове exec_query нет "названия правила", там указывается описание запроса.
Есть системные правила с такой конструкцией.
А описали exec_query в начале правила?
ЗЫ
В вызове exec_query нет "названия правила", там указывается описание запроса.
Есть системные правила с такой конструкцией.
C
Добрый!
А описали exec_query в начале правила?
ЗЫ
В вызове exec_query нет "названия правила", там указывается описание запроса.
Есть системные правила с такой конструкцией.
А описали exec_query в начале правила?
ЗЫ
В вызове exec_query нет "названия правила", там указывается описание запроса.
Есть системные правила с такой конструкцией.
C
Неправильно выразился, там описание запроса а не название правила
e
В событиях и в табличном списке значения username в одинаковом регистре?
C
Да, в нижнем регистре и там и там