попробовал, не помогло, создал тикет.

надо бы понять, что с постгресом
состояние баз надо понять

есть какие то инструкции как это сделать?

Добрый день!
Имеется тестовый стенд состоящий из SIEM (all in one), Windows 7 и ALT Linux.
1) Подскажите, пожалуйста, правильно ли я понимаю, что инциденты в таком наполнении тестового стенда я смогу создавать лишь в ручную, выбирая события и добавляя их к инциденту?
2) Пробовал проводить сетевое сканирование хоста Windows при помощи nmap, но в SIEM инцидент не появился, да и событий по этому поводу никаких не увидел. Правильно же понимаю что в тестовый стенд нужно добавить IDS/IPS и с него собирать события, чтобы в SIEM автоматически сгенерировался инцидент сетевого сканирования хоста?

Что такое "инцидент" в вашем понимании?

В SIEM инцидент создаётся из события или целой группы событий по правилу корреляции. Соответственно к нему будут подвязаны все события из которых инцидент был создан. Для этого нужно настроить сбор с данных узлов и ждать когда там что-то произойдёт.

Но чтобы что-то настроить и ждать нужно понять что siem вообще умеет собирать и коррелировать: для этого смотрите подержанные источники в refguide и смотрите какие формулы корреляции есть в правилах knowledge base

ААААААААААААА.

нет

вы собираете события?

с хоста windows, сетевого оборудования, устройств сканирование которых производилось?

1) сбор событий 2) корреляции по которым будут создаваться инциденты

Тоже была такая первая реакция)

сам по себе сием это сборщик, агрегатор, коррелятор событий, чудес там нет.

и на правила из коробки надеяться тоже не надо, инциденты будут создаваться только по тому чему вы его научите сами.

все остальное тлен и вранье продаванов))

😁я чуть ли не вслух

Сейчас обидно было

ну это логично)

+
мы тут денно и ночно пакеты экспертизы пилим.
А он "вранье продаванов"

вранье вранье) за это я их и не люблю

пакеты экспертизы не могут быть универсальными, кейсы разные у всех как и виденье что нужно детектить и как