Size: a a a

2020 September 06

К

Кац in MaxPatrol SIEM
речь однако была о сборке JSON вместо нечитабельного delimiter separated
источник

e

e6e6e in MaxPatrol SIEM
Кац
видели и даже со степенью вложенности больше 1
Это не моих рук дело.
источник

К

Кац in MaxPatrol SIEM
e6e6e
Это не моих рук дело.
источники бывают разные...)))
источник

К

Кац in MaxPatrol SIEM
так-то и событие на 800кб тоже видели
источник

e

e6e6e in MaxPatrol SIEM
Кац
источники бывают разные...)))
Не-не, вопрос был "А вы видели JSON в нормализованном событии?"
источник

К

Кац in MaxPatrol SIEM
и логи, которые пишутся в очередь сообщений - тоже
источник

e

e6e6e in MaxPatrol SIEM
e6e6e
А вы видели JSON в нормализованное событии?)
* нормализованном
источник

e

e6e6e in MaxPatrol SIEM
В общем, буду рад увидеть крутую интеграцию MP SIEM и R-Vision IRP )
источник

К

Кац in MaxPatrol SIEM
e6e6e
* нормализованном
об том и спич же. не всегда степень вложенности JSON-а позволяет движения класса "повторить кусок кода Н раз для извлечения значений"
источник

К

Кац in MaxPatrol SIEM
e6e6e
В общем, буду рад увидеть крутую интеграцию MP SIEM и R-Vision IRP )
когда рвижн родит забор инцидентов через вебхук...
источник

e

e6e6e in MaxPatrol SIEM
Кац
об том и спич же. не всегда степень вложенности JSON-а позволяет движения класса "повторить кусок кода Н раз для извлечения значений"
Это процесс нормализации, он выполняется над исходным событием. В MP SEIM в нормализованном событии JSON отсутствует (но пригодился бы).
источник

К

Кац in MaxPatrol SIEM
e6e6e
Это процесс нормализации, он выполняется над исходным событием. В MP SEIM в нормализованном событии JSON отсутствует (но пригодился бы).
иногда наличествует, а вот как тип данных - отсутствует
источник

К

Кац in MaxPatrol SIEM
равно как и возможность адекватно разобрать событие неизвестной вложенности
источник

e

e6e6e in MaxPatrol SIEM
Кац
иногда наличествует, а вот как тип данных - отсутствует
А можете пример привести JSON в нормализованном событии? (ток без кастомных костылей)
Мне действительно интересно.
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
Такое может быть в, основном, у самописного приклада. Крупные вендоры таким не промышляют.
источник

e

e6e6e in MaxPatrol SIEM
e6e6e
А можете пример привести JSON в нормализованном событии? (ток без кастомных костылей)
Мне действительно интересно.
Просто я одно время топил за такую модель событий.
источник

МЖ

Максим Жевнерев... in MaxPatrol SIEM
e6e6e
А можете пример привести JSON в нормализованном событии? (ток без кастомных костылей)
Мне действительно интересно.
в каспере KICS в свое время писал в KSC в стандартную табличку в поле message текст с ноды в Json
источник

МЖ

Максим Жевнерев... in MaxPatrol SIEM
как сейчас - хз
источник

МЖ

Максим Жевнерев... in MaxPatrol SIEM
но вполне могла быть ситуация. при которой сам message забирался, как и для всех событий
источник

e

e6e6e in MaxPatrol SIEM
Максим Жевнерев
в каспере KICS в свое время писал в KSC в стандартную табличку в поле message текст с ноды в Json
Максим, я ж про уже нормализованное событие...
Исходные события в JSON с двойной вложенностью и я нормализовывал (вроде, даже недавно).
источник