вам нужен PDQL по активам, а не событиям

посмотрите на типовые запросы
их там сотни

Окей понял

еще из коробочных примеров можно посмотреть на табличный список Vulnerable_ports
он автоматически заполняется по данным активов  хостами с открытыми портами, на которых есть уязвимости

Всем привет. А есть возможность добавлять сортировку в обратном порядке, при использовании Группировки событий? по умолчанию от большего к меньшему и на виджет также выводится

Тыкните на само поле в редакторе

сюда

так, поле COUNT его как бы нет, оно дополнительное ведь появляется

если поле count, но это другое ведь

похоже, что бага

я проверил, тоже не реверсится по количеству

пилите тикет, пожалуйста :)

спасибо, заведу

Коллеги! Добрый вечер!
Интересует документ Fortinet в котором прописаны все поля SysLog, в частности интересует что подразумевает под собой:

subtype=
vd=
authserver=
appcat=
crscore=
crlevel=

Заранее благодарю!

У фортинета есть документ FortiOS Log Message Reference

Там есть вся информация

Спасибо ) Буду искать

Он в открытом доступе у них на сайте

Для все версий fortios доступен, так что проблем быть не должно

Коллеги, а почему в дефолтных правилах почти нигде нет агрегации? Или она крайне странная.
Фактически инциденты не агрегируются.

Открыл правило infected object detect and (not) clean on event src host
Aggregation key = correlation name, dst ip,dst host, object path.
Агрегировать по пути к файлу? Dst ip? Какое будет dst ip, если обнаружены на флешки активаторы, например?

Правило
Execute download though mshta
Агрегация по 4 ключам кроме правила корреляции...
Аггрегация по ключу в командной строке... По сути с хоста прилетает 10 инцидентов, которые все равно нужно рассматривать в комплексе...

Ну в части ситуаций дефолт может быть не всегда удачно выбран. Делали определённые изменения как раз в борьбе с излишне селективными ключами недавно. Возможно уже или скоро выйдет в обновлениях.
К счастью, вы можете подправить это поведение постобогащением алертов без изменения корреляций коробочных