Как убедиться, что ваши самописные правила работают и выявляют угрозы? В пакетах экспертизы MaxPatrol SIEM правила протестированы, совместимость версии таксономии и уже написанных правил контролируется специалистами Positive Technologies. Если вы пишете собственные правила для MaxPatrol SIEM, то их работоспособность нужно регулярно проверять вручную непосредственно в продукте.

Удобнее всего создавать тесты на основе «сырых» и нормализованных событий для правил корреляции и обогащения. В этом поможет специальная утилита PTSIEMSDK_GUI, которая входит в поставку MaxPatrol SIEM. Эксперты Positive Technologies расскажут, как применять эту утилиту, и на примерах продемонстрируют, как писать модульные и интеграционные тесты и как отладить правила, которые работают с табличными списками.

Вебинар будет полезен специалистам, которые пишут собственный или поддерживают существующий контент для MaxPatrol SIEM.

Спикеры:
Антон Кутепов и Кирилл Кирьянов ― старшие специалисты
отдела экспертных сервисов и развития Positive…