S
Коллеги, добрый день. Подскажите пожалуйста, а у кого-нибудь был опыт подключение SearchInform КИБ в качестве источника событий? В refguide его нет в списке поддерживаемых
Size: a a a
2020 October 16
IY
Sergey
Коллеги, добрый день. Подскажите пожалуйста, а у кого-нибудь был опыт подключение SearchInform КИБ в качестве источника событий? В refguide его нет в списке поддерживаемых
добрый день, был, но для другого SIEM
IY
там есть нюансы, могу в личке пояснить
S
был бы очень признателен
MG
Sergey
Коллеги, добрый день. Подскажите пожалуйста, а у кого-нибудь был опыт подключение SearchInform КИБ в качестве источника событий? В refguide его нет в списке поддерживаемых
Он есть в списке частично поддерживаемых источников. Из коробки есть пара формул нормализации. Там смотря какая версия сёрча у вас, в более поздней есть возможность отправлять события в сием по сислогу
IY
поделюсь на всякий случай ещё тут — по syslog в КИБ Серчинформ отправляются события сработки политик,
но Заказчики частенько хотят мониторить не только это, а ещё и изменения политик, настроек, входы в консоли — эти данные лежат в MSSQL, а формул и профиля сбора для этого в MPSIEM пока нет.
учитывайте при внедрениях)
но Заказчики частенько хотят мониторить не только это, а ещё и изменения политик, настроек, входы в консоли — эти данные лежат в MSSQL, а формул и профиля сбора для этого в MPSIEM пока нет.
учитывайте при внедрениях)
MG
поделюсь на всякий случай ещё тут — по syslog в КИБ Серчинформ отправляются события сработки политик,
но Заказчики частенько хотят мониторить не только это, а ещё и изменения политик, настроек, входы в консоли — эти данные лежат в MSSQL, а формул и профиля сбора для этого в MPSIEM пока нет.
учитывайте при внедрениях)
но Заказчики частенько хотят мониторить не только это, а ещё и изменения политик, настроек, входы в консоли — эти данные лежат в MSSQL, а формул и профиля сбора для этого в MPSIEM пока нет.
учитывайте при внедрениях)
Спасибо)
MG
В более ранних версиях сёрча сислога не было и все лежало в бд
BG
Коллеги, а где-то есть документ со списком поддерживаемых из коробки источников?
Для 23 версии
Чтобы прямо списком, а не как в "Настройке источников"
Для 23 версии
Чтобы прямо списком, а не как в "Настройке источников"
E
Коллеги, а где-то есть документ со списком поддерживаемых из коробки источников?
Для 23 версии
Чтобы прямо списком, а не как в "Настройке источников"
Для 23 версии
Чтобы прямо списком, а не как в "Настройке источников"
а приложение "Бе" в рефгайде не?
BG
а приложение "Бе" в рефгайде не?
Прошу прощения, перепутал рефгайды и смотрел не в той версии((
G
всем привет. У кого есть информация по UCS? Можно ли в него вклиниться и свои настройки или IOC разливать с помощью saltstack в UCS?
PG
Добрый день. При написании правила корреляции каким образом можно проверить вхождение IP в подсеть? Версия эластика 1
m
Pavel Grachev
Добрый день. При написании правила корреляции каким образом можно проверить вхождение IP в подсеть? Версия эластика 1
есть функция in_subnet(IP, net), первым параметром адрес, вторым - сеть в cidr
PG
max
есть функция in_subnet(IP, net), первым параметром адрес, вторым - сеть в cidr
в доках вроде указано, что работает только на 7.х версия эластика, не?
m
Pavel Grachev
в доках вроде указано, что работает только на 7.х версия эластика, не?
Это в документации на PDQL в запросах к событиям. В правилах корреляции это работает в любом случае
E
всем привет. У кого есть информация по UCS? Можно ли в него вклиниться и свои настройки или IOC разливать с помощью saltstack в UCS?
интересные конкурсы. а зачем?
G
чтобы синхронизировать между разными инстансами данные
К
интересные конкурсы. а зачем?
например потому что удобно через единый механизм разливать данные, которые должны быть на всех SIEM
PG
max
Это в документации на PDQL в запросах к событиям. В правилах корреляции это работает в любом случае
Спасибо большое за информацию.