но смотря где. Если опция highload включена на SIEM Server, то исходное событие не сохраняется.
А если highload включен только на Event Storage - то будет 4 дата ноды у эластика, вместо 2х, сырые при этом никуда не денутся.  

Попытка не пытка:
.\export_data -f 2020-12-22T09:00:00Z -t 2020-12-22T10:00:00Z --host 10.0.0.5 --output=outfile_raw.txt raw --count
—host - адрес эластика
ключ raw - как раз будет искать исходные события
ключ count - позволяет посчитать число событий по запросу и не выводить результат в файл. Эта операция значительно дешевле.

Ну и если у Вас R22+, то все сырые события Вы видите в интерфейсе SIEM. Их можно отфильтровать: normalized = false, экспорт дата для этого уже не нужна.

Большое спасибо за ответ. В интерфейсе SIEM видим сырые события, но искать что-то в них очень проблематично.

если решать эту задачу через выгрузку событий экспорт датой, то полезно будет знать ещё три ключа:
tag - фильтр по модулю
task_id - фильтр по id задачи
recv_ipv4 - фильтр по ip источника
всё это можно комбинировать с другими тегами

Отлично, спасибо большое за предоставленное решение. Будем пробовать 👍

ну и добавлю что это всё же история про поддержку новых источников и разработку новых правил нормализаций, но никак не про анализ в режиме реального времени. Поэтому смотрите, что не нормализовалось и интересно для инфраструктуры заказчика, пишите правила, присылайте запросы на поддержку источников/доработку правил в техподдержку.

Через фильтр body contains ищете? Не все знают, что так можно.

Но в целом поддержу Александра, для нормальной работы с событиями их надо нормализовать :)

А где про это можно почитать?)

Гайд PDQL Syntax, поиском по contains :)

Для R23 это пункт 2.3.12. Поле body

Спасибо большое

Можно ли в  SIEM получить список узлов из служебной зоны *._msdcs.* контроллера домена?

Коллеги, подскажите пожалуйста. Кто либо пробовал делать резервное копирование MP SIEM акронисом? Чтобы закатать установку в образ и на новом серваке раскатить с переактивацией лицензии. Или только чистая установка пройдет?

Точно нужно будет перенастраивать на новый хостнейм/ IP

Какую задачу решаете? Массовый деплой сиема?

полное резервное копирование железа, разворачивание чистой версии ОС (Win2019 server/Debian 10) и установка. В случае проблем, откат из "золотого" образа

Да, бекап ОС должен сработать, но активацию придется пройти повторно

ну это понятно. Тут вопрос как раз в том, как особенно безболезненно переехать с win 2012 R2 в win 2019.

Бекап рестор скрипами из поставки

В документации есть описание

Добрый день, коллеги. Есть подозрение, что не полностью нормализуются события с доменконтроллеров по msgid 4738. Сами события поступают и нормализуются, но некоторых атрибутов не хватает. Т.е. мы видим в SIEM события об изменении УЗ, но что изменилось в событии не указано.

Может как-то актуальное правило нормализации получить? Или какие могут быть варианты?