Z
подключаешь рули
Size: a a a
2021 March 01
Z
и заводишь задачу на сбор событий из журнала sysmon
Z
транспорт wineventlog
M
подключаешь рули
это как?) сисмон раскатан
M
профиль имеется ввиду?
Z
это как?) сисмон раскатан
создай профиль на базе существующего на сбор событий с ендпойнтов, в профиле явно добавь :
{
"file": "Microsoft-Windows-Sysmon/Operational",
"query": "*"
}
{
"file": "Microsoft-Windows-Sysmon/Operational",
"query": "*"
}
M
понял, спасибо
SR
создай профиль на базе существующего на сбор событий с ендпойнтов, в профиле явно добавь :
{
"file": "Microsoft-Windows-Sysmon/Operational",
"query": "*"
}
{
"file": "Microsoft-Windows-Sysmon/Operational",
"query": "*"
}
Есть стандартный (С R22 КМК)
Z
ааа
Z
ну мы еще из старых) у нас своё
M
да, я стандартный и указал. в нем как раз этот запрос уже вшит)
N
Всем привет! 4 марта покажем все ключевые фичи новой версии MaxPatrol SIEM и расскажем про грядущие изменения в работе правил нормализации и корреляции. Плюс ответим на все волнующие вопросы.
Регистрация: https://ptsecurity.zoom.us/webinar/register/1116134816229/WN_PyNU1yT0Qc-pZwm6psu0-A
Регистрация: https://ptsecurity.zoom.us/webinar/register/1116134816229/WN_PyNU1yT0Qc-pZwm6psu0-A
🎅L
Коллеги, добрый день!
Кто прояснит что значит эта информация о параметрах
Кто прояснит что значит эта информация о параметрах
"max_shards_per_node" : "2000"D
Александр Данченков
Добрый день. Подскажите запрос на отображение активов с одинаковыми ip адресами?
select(@Host, host.@IpAddresses as ip) | filter(ip not in [127.0.0.1,::1]) | group(ip, COUNT(*) as cnt) | filter(cnt>1) | sort(cnt DESC)
AS
Коллеги, добрый день!
Кто прояснит что значит эта информация о параметрах
Кто прояснит что значит эта информация о параметрах
"max_shards_per_node" : "2000"Добрый день!
Это лимит шардов на одну датаноду эластика.
Один индекс состоит из 4 шардов.
Это лимит шардов на одну датаноду эластика.
Один индекс состоит из 4 шардов.
АД
select(@Host, host.@IpAddresses as ip) | filter(ip not in [127.0.0.1,::1]) | group(ip, COUNT(*) as cnt) | filter(cnt>1) | sort(cnt DESC)
Спасибо. Не дошло использовать группировку.
DD
День добрый.
Коллеги подскажите как разобрать лог который пришел в виде CEF или скажите, где почитать, второй вариант лучше )
Коллеги подскажите как разобрать лог который пришел в виде CEF или скажите, где почитать, второй вариант лучше )
m
Denis David
День добрый.
Коллеги подскажите как разобрать лог который пришел в виде CEF или скажите, где почитать, второй вариант лучше )
Коллеги подскажите как разобрать лог который пришел в виде CEF или скажите, где почитать, второй вариант лучше )
Почитать - developer guide,
Посмотреть на примеры можно в системных формулах.
Скорее всего потребуется написать несколько формул вида
'....... CEF:{NUMBER}|VendorName|ProductName|Version|{msgid="xxx"}|yyy|{$kv=KEYVALUE(" ", "=")}'
Т.е. сматчить постоянную часть события и остаток разобрать как keyvalue
Посмотреть на примеры можно в системных формулах.
Скорее всего потребуется написать несколько формул вида
'....... CEF:{NUMBER}|VendorName|ProductName|Version|{msgid="xxx"}|yyy|{$kv=KEYVALUE(" ", "=")}'
Т.е. сматчить постоянную часть события и остаток разобрать как keyvalue
DD
В гайде разработчиков, нету инфы, есть в видеообучении по нормализации. При. Попытке ввести CEF выдает ошибку.
m
Denis David
В гайде разработчиков, нету инфы, есть в видеообучении по нормализации. При. Попытке ввести CEF выдает ошибку.
в гайде есть про TEXT и про токены (NUMBER/WORD/KEYVALUE/etc)
специального токена для CEF нет
специального токена для CEF нет