В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MaxPatrol SIEM

1009 membersпожаловаться на группу
2020 September 18

D

Dips in MaxPatrol SIEM
Roman Redikultsev
Всем привет.
Подскажите, где описана интеграция MP SIEM 23 и NAD 10, в документации на оба продукта нет информации. Как настроить NAD, чтобы он слал события в SIEM. В refguide способ используя MP NAD Sensor. А как без него?
Зачем без него?
Это самый правильный способ.
источник
10:50пожаловаться#1

E

EИ0Ʇ in MaxPatrol SIEM
Roman Redikultsev
Всем привет.
Подскажите, где описана интеграция MP SIEM 23 и NAD 10, в документации на оба продукта нет информации. Как настроить NAD, чтобы он слал события в SIEM. В refguide способ используя MP NAD Sensor. А как без него?
без него сислогом, но там есть нюансы, лучше через сенсор
источник
10:59пожаловаться#2

v

virars in MaxPatrol SIEM
Коллеги, привет! Кто работал с выгрузкой нормализованных событий из эластика с фильтрацией по полям (например id) можете помочь с синтаксисом? Пробую так как в refguide - не помогает, ничего не ищет, версия эластика новая, siem R22
источник
14:27пожаловаться#3

v

virars in MaxPatrol SIEM
если ищу по
norm task_id = "" то всё находит
источник
14:28пожаловаться#4

v

virars in MaxPatrol SIEM
проверяю в этих событиях id, делаю копипаст - не находит ничего
источник
14:28пожаловаться#5

v

virars in MaxPatrol SIEM
пробовал с кавычками, без кавычек, одинарные кавычки, может кто сталкивался?
источник
14:29пожаловаться#6

RS

Roman Sergeev in MaxPatrol SIEM
export_data?
источник
14:30пожаловаться#7

m

max in MaxPatrol SIEM
virars
пробовал с кавычками, без кавычек, одинарные кавычки, может кто сталкивался?
в UI или export_data не ищет?
источник
14:32пожаловаться#8

v

virars in MaxPatrol SIEM
Roman Sergeev
export_data?
+
источник
14:33пожаловаться#9

v

virars in MaxPatrol SIEM
в export_data
источник
14:33пожаловаться#10

v

virars in MaxPatrol SIEM
хочу выгрузить события определенные, доработать надо
источник
14:33пожаловаться#11

c

cinortoce in MaxPatrol SIEM
siem_events/_search?q=normalized:true%20and%20task_id:<xxx-xxx-xxx>
источник
14:35пожаловаться#12

m

max in MaxPatrol SIEM
virars
в export_data
подl windows кавычки экранировать надо. tag=\"syslog\"
источник
14:39пожаловаться#13

v

virars in MaxPatrol SIEM
cinortoce
siem_events/_search?q=normalized:true%20and%20task_id:<xxx-xxx-xxx>
Это же запрос в браузере, нет?)
источник
15:02пожаловаться#14

v

virars in MaxPatrol SIEM
max
подl windows кавычки экранировать надо. tag=\"syslog\"
сейчас проверим
источник
15:02пожаловаться#15

v

virars in MaxPatrol SIEM
но у меня искал без экранирования остальные позиции
источник
15:02пожаловаться#16

v

virars in MaxPatrol SIEM
типа normalized = true
источник
15:03пожаловаться#17

m

max in MaxPatrol SIEM
virars
сейчас проверим
без кавычек xxx=yyy будет значить что мы хотим события у которых поле xxx совпадает с yyy.
источник
15:03пожаловаться#18

v

virars in MaxPatrol SIEM
max
подl windows кавычки экранировать надо. tag=\"syslog\"
завершается с ошибкой
источник
15:18пожаловаться#19

v

virars in MaxPatrol SIEM
ругается на слэш
источник
15:18пожаловаться#20