Size: a a a

2020 September 05

NA

Nikolai Arefiev in MaxPatrol SIEM
Да, у нас есть какая-то методика и мы ее придерживаемся )
источник

e

e6e6e in MaxPatrol SIEM
Nikolai Arefiev
Да, у нас есть какая-то методика и мы ее придерживаемся )
Круто! Хороший уровень. Я нормальную методику пока не осилил написать.
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
В целом у нас вся нормализация внутри проходит апрув после разработки, поэтому +- схема нормализации фиксирована
источник
2020 September 06

К

Кац in MaxPatrol SIEM
Nikolai Arefiev
В целом у нас вся нормализация внутри проходит апрув после разработки, поэтому +- схема нормализации фиксирована
да, уже нормализовали? быстро. а документом с сообществом не поделитесь?
источник

e

e6e6e in MaxPatrol SIEM
Nikolai Arefiev
В целом у нас вся нормализация внутри проходит апрув после разработки, поэтому +- схема нормализации фиксирована
Так-то у нас тоже нормализация проход апрув...но через одного сотрудника, который приводит формулы к единому виду. При таком подходе и методика не очень нужна =)
источник

e

e6e6e in MaxPatrol SIEM
Кац
да, уже нормализовали? быстро. а документом с сообществом не поделитесь?
+1 к запросу на документ
Но и ПТ может поделиться своим. Потенциально это повысит качество кастомных формул => повысит качество использования продукта. Вроде, все в плюсе.
источник

К

Кац in MaxPatrol SIEM
e6e6e
Так-то у нас тоже нормализация проход апрув...но через одного сотрудника, который приводит формулы к единому виду. При таком подходе и методика не очень нужна =)
ага, я и хранил всё в голове. потому и удивлен, что составление этой методики в бумаге - процесс не быстрый, а ориентировался я на архив тестовых событий для сценариев, которые похерили, емнип.
источник

e

e6e6e in MaxPatrol SIEM
Кац
ага, я и хранил всё в голове. потому и удивлен, что составление этой методики в бумаге - процесс не быстрый, а ориентировался я на архив тестовых событий для сценариев, которые похерили, емнип.
Согласен, процесс не быстрый. Но если изначально ставить процесс написания контента на правильные рельсы и в отдельном месте сразу выделять параметры типа "log source" (Atomic Threat Coverage в помощь), то задача Николая решается просто и быстро. =)
источник

К

Кац in MaxPatrol SIEM
то есть фактически иметь собственную пополняемую, технически контролируемую и полностью документированную реализацию CIM...
источник

К

Кац in MaxPatrol SIEM
вообще, в разговорах с позитивом проскакивало, что что-то подобное они в ближайшем будущем и планируют
источник

e

e6e6e in MaxPatrol SIEM
Таксономия (схема полей событий) же появилась в UI PTKB - шаг 0 в эту сторону. Так что ждем очередной технологический прорыв! )
источник

К

Кац in MaxPatrol SIEM
главное, чтобы не получился зарыв)
источник

I

Ivan in MaxPatrol SIEM
Коллеги, привет)
Попал в круговорот ошибок при установке правил в сием.

Слетела установка табличного списка одного из стандартных правил. А правило, которое к нему обращается установлено.

То есть из-за проверки установленной части базы знаний во время установки нового правила у меня постоянно ошибка, потому что одно из правил не видит свой табличный список, потому что его установка слетела.
Я даже не могу установить этот табличный список, потому что  сием сначала делает проверку, а потом что-то доставляет.
Я даже не могу выключить из сием правило, которое обращается к табличному списку, который сделал. 😁
Из-за того, что это стандартное правило, я не могу его редактировать и не могу сказать правилу обращаться к другому табличному списку, который могу создать.

В общем, кто попадал в такой круг ошибок, как из него выйти?
источник

m

max in MaxPatrol SIEM
Ivan
Коллеги, привет)
Попал в круговорот ошибок при установке правил в сием.

Слетела установка табличного списка одного из стандартных правил. А правило, которое к нему обращается установлено.

То есть из-за проверки установленной части базы знаний во время установки нового правила у меня постоянно ошибка, потому что одно из правил не видит свой табличный список, потому что его установка слетела.
Я даже не могу установить этот табличный список, потому что  сием сначала делает проверку, а потом что-то доставляет.
Я даже не могу выключить из сием правило, которое обращается к табличному списку, который сделал. 😁
Из-за того, что это стандартное правило, я не могу его редактировать и не могу сказать правилу обращаться к другому табличному списку, который могу создать.

В общем, кто попадал в такой круг ошибок, как из него выйти?
Установить весь необходимый контент (нужную группу) - не спасает?
источник

I

Ivan in MaxPatrol SIEM
Нет
источник

I

Ivan in MaxPatrol SIEM
Он всегда хочет сначала проверить уже установленные правила
источник

I

Ivan in MaxPatrol SIEM
Из логичного виду кнопку: удалить все установленные правила и установить все правила из базы знаний.
Но это самый крайний и последний вариант
источник

I

Ivan in MaxPatrol SIEM
max
Установить весь необходимый контент (нужную группу) - не спасает?
Вообще не нашел кнопки: установить группу. Только " набор для установки". Но там есть и ненужные и лишние правила...
источник

RS

Roman Sergeev in MaxPatrol SIEM
Ivan
Вообще не нашел кнопки: установить группу. Только " набор для установки". Но там есть и ненужные и лишние правила...
Логично, что устанавливать можно только наборы для установки. Сделайте свой без лишнего контента
источник

I

Ivan in MaxPatrol SIEM
И тип можно будет без проверка установленный уже? Круто, спасибо
источник