RS
В выпадающем, списке нет вариантов наборов для установки. или нужно будет сделать свой набор, который будет использоваться в данном профиле?
Нужно сделать свой, совершенно верно
Size: a a a
2021 March 15
KA
Ок. Спасибо. Буду пробовать.
B
Вот да. В части атак хороший материал для классификации. Но про пьяного сисадмина, случайно оборвавшего линии волс ядра сети, там ничего не сказано). Короче с этой стороны нужно додумывать
Ору, вы сделали мой день))))
🎅L
Вот да. В части атак хороший материал для классификации. Но про пьяного сисадмина, случайно оборвавшего линии волс ядра сети, там ничего не сказано). Короче с этой стороны нужно додумывать
Интеграция с Zabbix в помощь ну и ключи от серверной у сисадминов забрать и выдавать под расписку.
Вот вам и кейс
Вот вам и кейс
🎅L
+ политика ИБ организации должна содержать что-то в виде "инцидентом ИБ модет являться случай умышленного повреждением телекомуникационного оборудования или немедленного по неосторожности специалистов ИТ"
I
Да тут дело не в мерах защиты от инцидентов. А классификация инцидентов в орд.
L
Привет коллеги, есть ли у кого-то актуальная база maxmind? С детализацией до компании
L
Решаю задачу по выявлению подмены домена и ip
GD
Какая версия SIEM на сертификации в настоящее время, не знаете?
RS
23.1
GD
R
Добрый день! Подскажите, пожалуйста: есть у меня источник, отдает SYSLOG`ом JSON, т.е. вот такой вид: <10>Mar 5 16:00:12 SERVER MODULE: {JSON}
События в JSON`е разные, структура так же разная (грубо говоря 4 вида). Строка до самого JSON`а не меняется. Для одного типа понятно, TEXT + subformula JSON. Но если делать еще подобную формулу, то возникают проблемы (что логично, значение в TEXT одинаковое) - граф не собирается.
Куда лучше копать? Пытаться обработать в одной формуле несколькими сабформулами (если такое возможно, конечно)? Или с профилем SYSLOG`а работать?
События в JSON`е разные, структура так же разная (грубо говоря 4 вида). Строка до самого JSON`а не меняется. Для одного типа понятно, TEXT + subformula JSON. Но если делать еще подобную формулу, то возникают проблемы (что логично, значение в TEXT одинаковое) - граф не собирается.
Куда лучше копать? Пытаться обработать в одной формуле несколькими сабформулами (если такое возможно, конечно)? Или с профилем SYSLOG`а работать?
m
вариант с несколькими сабформулами в одной формуле вполне рабочий, но может быть не очнеь удобен если разных типов событий десятки.
R
Нет, не десятки, 4 структуры
R
Спасибо, уже объединил, оно даже работает :)
RS
так, уточнение поступило
23.0.3539
23.0.3539
R
RB
Спасибо, уже объединил, оно даже работает :)
А нет, рано радовался. Не могу понять как конвейер сабформул сделать...
R
TEXT = '{"<"NUMBER">"?}{DATETIME} {event_src.hostname=HOSTNAME} {WORD}{"["NUMBER"]"?}: {$json = REST}'
subformula '1'
...
endsubformula
subformula '2'
...
endsubformula
—————————
subformula '1'
...
endsubformula
subformula '2'
...
endsubformula
—————————
SS
RB
TEXT = '{"<"NUMBER">"?}{DATETIME} {event_src.hostname=HOSTNAME} {WORD}{"["NUMBER"]"?}: {$json = REST}'
subformula '1'
...
endsubformula
subformula '2'
...
endsubformula
—————————
subformula '1'
...
endsubformula
subformula '2'
...
endsubformula
—————————
у всех сабформул будет одно название, то есть везде "1". отличаться только будет строкой разбора. и вызывайте ее 1 раз
R
у всех сабформул будет одно название, то есть везде "1". отличаться только будет строкой разбора. и вызывайте ее 1 раз
Т.е. можно иметь несколько сабформул с одним названием, но разным условием в COND?