m
🅳Ⓐ🅽
В 21.0 параметр не найден говорит, хотя пакет для линухов стоит (
Если нет возможности обновиться - запросите в ТП обновление системных профилей для 21.0
Size: a a a
2020 October 08
D
max
Если нет возможности обновиться - запросите в ТП обновление системных профилей для 21.0
ну не достаточно только профили обновить, надо ещё агента..
RS
ну не достаточно только профили обновить, надо ещё агента..
И scanning
Но вроде достаточно профиль руками поправить
Но вроде достаточно профиль руками поправить
N
Андрей Янкин и Андрей Черных из компании «Инфосистемы Джет»:
• о внедрении SIEM-систем
• о продуктах, которые использует центр мониторинга и реагирования на инциденты в сфере информационной безопасности
• о роли SIEM в бизнесе «Инфосистем Джет»
• о перспективах SIEM как технологии
https://www.anti-malware.ru/interviews/2020-10-08/33886
• о внедрении SIEM-систем
• о продуктах, которые использует центр мониторинга и реагирования на инциденты в сфере информационной безопасности
• о роли SIEM в бизнесе «Инфосистем Джет»
• о перспективах SIEM как технологии
https://www.anti-malware.ru/interviews/2020-10-08/33886
2020 October 09
C
Есть вопросик по формуле нормализации: когда разбираешь событие через keyvalue и у одного из полей значение начинается со знака доллар, то нет возможности его вытащить.
Сталкивался кто с этим и как лечили?
Сталкивался кто с этим и как лечили?
m
Есть вопросик по формуле нормализации: когда разбираешь событие через keyvalue и у одного из полей значение начинается со знака доллар, то нет возможности его вытащить.
Сталкивался кто с этим и как лечили?
Сталкивался кто с этим и как лечили?
$['$xxx'] не работает?
C
Пример user=$system
Формула $values=KEYVALUE(“ “, “=“, “\\\””)
Если я сделаю так: datafield1=$values[“user”], то в это поле ничего не попадёт. Но если будет событие user=admin, в поле datafield1 запишется admin
Формула $values=KEYVALUE(“ “, “=“, “\\\””)
Если я сделаю так: datafield1=$values[“user”], то в это поле ничего не попадёт. Но если будет событие user=admin, в поле datafield1 запишется admin
m
Пример user=$system
Формула $values=KEYVALUE(“ “, “=“, “\\\””)
Если я сделаю так: datafield1=$values[“user”], то в это поле ничего не попадёт. Но если будет событие user=admin, в поле datafield1 запишется admin
Формула $values=KEYVALUE(“ “, “=“, “\\\””)
Если я сделаю так: datafield1=$values[“user”], то в это поле ничего не попадёт. Но если будет событие user=admin, в поле datafield1 запишется admin
хм..
datafield1=$values['user']
{
"datafield1": "$system",
}
datafield1=$values['user']
{
"datafield1": "$system",
}
C
Хм.. это что?
Правильно понял в таком написании сработает?
Правильно понял в таком написании сработает?
C
Не работает такой подход, Макс
2020 October 10
М
Здраствуйте! Имеется правило корреляции для RDP подключения. Хочу вычислять время RDP сессии. Можно ли это реализовать через правило обогащения или необходимо писать еще одно правило корреляции ?
Z
Здраствуйте! Имеется правило корреляции для RDP подключения. Хочу вычислять время RDP сессии. Можно ли это реализовать через правило обогащения или необходимо писать еще одно правило корреляции ?
Я бы обогащением писал в тс время входа и время выхода конкретного пользователя и хоста
Z
Зачем корреляцию для этого использовать;)
М
Просто не очень понятно как тогда отследить конкретного пользователя, ведь в обогащение нет директории Key
Z
Искать его в тс?
М
я правильно поняла тс для обогащения и коррелеации разные же ?
Z
Да. Разные типы
М
Не понятно как тогда использовать данные из тс
Z
А вы с ними что хотите делать? Конечная цель какая?
Z
Можно в тс писать успешную авторизацию по рдп а кореляцию сделать на срабатывание закрытия сессии. Будете брать из тс информацию о юзере, хосте и времени начала сессии