SF
max
если я не ошибаюсь , то тот заэкранировали * и, соответственно, ищем именно "*" в конце?
Верно
Size: a a a
2021 March 05
SF
source_hostname - что это за поле и что туда вводить?
Зависит от правила
🎅L
пишу хэлп для заказчика
SF
Если правильно помню, то event_src.hostname. Можно в корреляции посмотреть какое он поле для проверки подставляет
m
пишу хэлп для заказчика
из документации к пакету экспертизы:
В табличном списке AD_Security_Administrators нужно указать логины привилегированных учетных записей, IP-адреса и полные доменные имена (FQDN) узлов, с которых выполняется администрирование.
В табличном списке AD_Security_Administrators нужно указать логины привилегированных учетных записей, IP-адреса и полные доменные имена (FQDN) узлов, с которых выполняется администрирование.
🎅L
да, я вижу по описаниям полей
🎅L
это поле активно но необязательно для заполнения. Вот я и разбираюсь что за оно, и зачем оно вообще если без него можно обойтись
m
если не заполнить - не будет работать вайтлистинг легитимных админов.
SF
Если смотреть по правилу, то получается так
2021 March 08
e
Добрый вечер!
Подскажите, пожалуйста, чтобы в табличном списке найти самую раннюю дату (в столбце типа datetime) с помощью агрегатной функции min, обязательно переводить время в числовой вид?
Подскажите, пожалуйста, чтобы в табличном списке найти самую раннюю дату (в столбце типа datetime) с помощью агрегатной функции min, обязательно переводить время в числовой вид?
RS
Добрый вечер!
Подскажите, пожалуйста, чтобы в табличном списке найти самую раннюю дату (в столбце типа datetime) с помощью агрегатной функции min, обязательно переводить время в числовой вид?
Подскажите, пожалуйста, чтобы в табличном списке найти самую раннюю дату (в столбце типа datetime) с помощью агрегатной функции min, обязательно переводить время в числовой вид?
Должно и так работать, вроде бы
e
Должно и так работать, вроде бы
Вроде, даже работало. В R23.1 ругается на запись, которая закомменчена.
2021 March 09
N
Всем привет! 4 марта покажем все ключевые фичи новой версии MaxPatrol SIEM и расскажем про грядущие изменения в работе правил нормализации и корреляции. Плюс ответим на все волнующие вопросы.
Регистрация: https://ptsecurity.zoom.us/webinar/register/1116134816229/WN_PyNU1yT0Qc-pZwm6psu0-A
Регистрация: https://ptsecurity.zoom.us/webinar/register/1116134816229/WN_PyNU1yT0Qc-pZwm6psu0-A
Если вы хотели, но не смогли прийти на вебинар про MaxPatrol SIEM 6.1 (24)
На сайте появилась запись и презентация с вебинара. Видео можно посмотреть в HD качестве: https://www.ptsecurity.com/ru-ru/research/webinar/maxpatrol-siem-6-1-obzor-novyh-vozmozhnoste/
На сайте появилась запись и презентация с вебинара. Видео можно посмотреть в HD качестве: https://www.ptsecurity.com/ru-ru/research/webinar/maxpatrol-siem-6-1-obzor-novyh-vozmozhnoste/
DD
Коллеги, подскажите, через какой транспорт подключать mikrotik или дописывать самому?
I
Denis David
Коллеги, подскажите, через какой транспорт подключать mikrotik или дописывать самому?
А что вы хотите сделать?
I
Denis David
Коллеги, подскажите, через какой транспорт подключать mikrotik или дописывать самому?
SNMP audit
m
Denis David
Коллеги, подскажите, через какой транспорт подключать mikrotik или дописывать самому?
события? По syslog
DD
Точно сорри забыл )
DD
max
события? По syslog
Syslog и события )