Size: a a a

2020 September 02

IY

Ivan Yakushev in MaxPatrol SIEM
хотя 2 колонки, наверное, лучше, чем 5
источник

IY

Ivan Yakushev in MaxPatrol SIEM
вопрос не для часа ночи
источник

e

e6e6e in MaxPatrol SIEM
Ivan Yakushev
если бы я делал что-то такое, я бы сделал, задачу сбора из файла или откуда там данные для AL, написал бы формулу нормализации под это, там же бы приводил все к нужному типу данных, а потом писал бы в AL уже с корректным типом
Скорее, так:
В scheduler-е задача(-и) импорта csv через API.
Т к нужно ещё учитывать TTL IoC-ов.
источник

VG

Viktor Gordeev in MaxPatrol SIEM
А maxpatrol умеет получать события в cef-формате и записывать данные в active list?
источник

e

e6e6e in MaxPatrol SIEM
Viktor Gordeev
А maxpatrol умеет получать события в cef-формате и записывать данные в active list?
Умеет, вот так:
https://t.me/MPSIEMChat/24483
+ обогащение, которое будет пушить в AL
источник

VG

Viktor Gordeev in MaxPatrol SIEM
Понял
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
под CEF можно и свою нормализацию запилить, благо там достаточно просто получится, если в CEF просто обернуты индикаторы
источник

IY

Ivan Yakushev in MaxPatrol SIEM
Nikolai Arefiev
под CEF можно и свою нормализацию запилить, благо там достаточно просто получится, если в CEF просто обернуты индикаторы
Подтверждаю, для CEF самые простые нормализации евер
источник

m

max in MaxPatrol SIEM
Viktor Gordeev
А maxpatrol умеет получать события в cef-формате и записывать данные в active list?
Так можно делать, но не проще ли использовать импорт из csv?
источник
2020 September 03

i

int 0x80 in MaxPatrol SIEM
Viktor Gordeev
Хочу все в 1 active list загнать, а не дробить на 5
а зачем, если не секрет? зачем хранить данные разных типов в одном листе, усложняя запрос и выбирая максимально универсальные типы данных для полей вместо подходящих?
источник

VG

Viktor Gordeev in MaxPatrol SIEM
int 0x80
а зачем, если не секрет? зачем хранить данные разных типов в одном листе, усложняя запрос и выбирая максимально универсальные типы данных для полей вместо подходящих?
Так проще
источник

i

int 0x80 in MaxPatrol SIEM
Viktor Gordeev
Так проще
для чего?
источник

i

int 0x80 in MaxPatrol SIEM
или вы списки руками обновляете, поэтому удобнее?
источник

i

int 0x80 in MaxPatrol SIEM
потому что любым средством автоматизации задача разделения данных решается тривиально и затраты на решение вполне оправдывают полученный профит
источник

Ю

Юра in MaxPatrol SIEM
Коллеги, добрый день. Такой вопрос - я правильно понимаю, что впн клиент (vipnet client) надо ставить на MP Agent , чтобы была возможность запустить сканирование на удаленный офис?
источник

VG

Viktor Gordeev in MaxPatrol SIEM
int 0x80
потому что любым средством автоматизации задача разделения данных решается тривиально и затраты на решение вполне оправдывают полученный профит
Да я пока только думаю как лучше реализовать
источник

N

Natalia in MaxPatrol SIEM
Мы проанализировали результаты 23 пилотов MaxPatrol SIEM: во всех проектах обнаружили реальные инциденты ИБ.

В отчете:
- типичные и нестандартные задачи, которые ставят заказчики перед пилотом;
- топ популярных источников событий;
- инциденты ИБ, которые чаще всего выявляются во время пилотов, с примерами из практики.

Смотреть отчет
источник

И

Иван in MaxPatrol SIEM
Коллеги, подскажите можно ли как то настроить уведомление о прекращении/уменьшении потока событий в разрезе определенной задачи (интересует кейс с модулями netflow,syslog)? В R22 есть возможность настроить уведомление для контроля потока, но там можно выбрать лишь группы активов, а модуль сбора или задачу нельзя.
источник

e

e6e6e in MaxPatrol SIEM
Иван
Коллеги, подскажите можно ли как то настроить уведомление о прекращении/уменьшении потока событий в разрезе определенной задачи (интересует кейс с модулями netflow,syslog)? В R22 есть возможность настроить уведомление для контроля потока, но там можно выбрать лишь группы активов, а модуль сбора или задачу нельзя.
Тоже интересно. В доке на R23 такая функциональность не описана. Оформлять фича-реквест?
источник

RS

Roman Sergeev in MaxPatrol SIEM
e6e6e
Тоже интересно. В доке на R23 такая функциональность не описана. Оформлять фича-реквест?
опиши
только побольше примеров практических
источник