Size: a a a

2020 September 02

АС

Андрей Слободчиков... in MaxPatrol SIEM
источник

PK

Pavel Korostelev in MaxPatrol SIEM
Zer🦠way
Наличие сертификата не говорит не о чем
Ох не скажи, там значительное количество усилий требуется для его получения. Реализация может быть разной, очень разной, но тем не менее. На этапе подготовки к сертификации куча всего вылавливается.
источник

АС

Андрей Слободчиков... in MaxPatrol SIEM
Pavel Korostelev
Ох не скажи, там значительное количество усилий требуется для его получения. Реализация может быть разной, очень разной, но тем не менее. На этапе подготовки к сертификации куча всего вылавливается.
Все ждал, когда меня спасут вендоры
источник

A

Anryal in MaxPatrol SIEM
Natalia
Начало через 18 минут! https://broadcast.comdi.com/watch/e089vr7v
Запись будет?
источник

RS

Roman Sergeev in MaxPatrol SIEM
Anryal
Запись будет?
конечно
источник

VG

Viktor Gordeev in MaxPatrol SIEM
Коллеги, у меня вопросик возник.
В max patrol можно создать active list с типом поля string, но записывать в него ip-адреса.
А потом какой нибудь переменной делать преобразование в тип ip-address и использовать в правилах на проверку ioc?
источник

IY

Ivan Yakushev in MaxPatrol SIEM
Viktor Gordeev
Коллеги, у меня вопросик возник.
В max patrol можно создать active list с типом поля string, но записывать в него ip-адреса.
А потом какой нибудь переменной делать преобразование в тип ip-address и использовать в правилах на проверку ioc?
да
источник

VG

Viktor Gordeev in MaxPatrol SIEM
Спасибо
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
Сорри, за офтоп, но ... Виктор, ты решил переехать с Арксайта???
источник

VG

Viktor Gordeev in MaxPatrol SIEM
Я решил тут одну штуку замутить😀
источник

e

e6e6e in MaxPatrol SIEM
Viktor Gordeev
Коллеги, у меня вопросик возник.
В max patrol можно создать active list с типом поля string, но записывать в него ip-адреса.
А потом какой нибудь переменной делать преобразование в тип ip-address и использовать в правилах на проверку ioc?
Функция/оператор ipv4($string)
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
Viktor Gordeev
Я решил тут одну штуку замутить😀
Даже не буду спрашивать какую :)
источник

IY

Ivan Yakushev in MaxPatrol SIEM
Viktor Gordeev
Я решил тут одну штуку замутить😀
не мучиться с переменными в арксайте?)
источник

VG

Viktor Gordeev in MaxPatrol SIEM
e6e6e
Функция/оператор ipv4($string)
А если в этом листе и ip, hash, domain и так далее и все в string. Но допустим каждому ioc будет проставляться еще поле type.
Возможно ли в зависимости от поля type делать конкретную конвертацию в ip, string или integer?
источник

IY

Ivan Yakushev in MaxPatrol SIEM
Viktor Gordeev
А если в этом листе и ip, hash, domain и так далее и все в string. Но допустим каждому ioc будет проставляться еще поле type.
Возможно ли в зависимости от поля type делать конкретную конвертацию в ip, string или integer?
да)
источник

VG

Viktor Gordeev in MaxPatrol SIEM
Спасибо
источник

e

e6e6e in MaxPatrol SIEM
Viktor Gordeev
А если в этом листе и ip, hash, domain и так далее и все в string. Но допустим каждому ioc будет проставляться еще поле type.
Возможно ли в зависимости от поля type делать конкретную конвертацию в ip, string или integer?
Несколько if-elif c проверкой по maybe_ipv4 и т д
источник

IY

Ivan Yakushev in MaxPatrol SIEM
e6e6e
Несколько if-elif c проверкой по maybe_ipv4 и т д
та не, у него же колонка type будет, сразу if-elif по type
источник

VG

Viktor Gordeev in MaxPatrol SIEM
e6e6e
Несколько if-elif c проверкой по maybe_ipv4 и т д
И все это можно прикрутить к потоку данных и находу делать преобразования и проверять ioc?
источник

IY

Ivan Yakushev in MaxPatrol SIEM
и соответствующая функция
источник