RS
64 hex chars
yes
yes
Size: a a a
2021 May 29
RS
case of letters matters
RS
show the code of filter with query, please
SA
Yes have done that in TL as all small letters since rule uses lower..
SA
query CheckUnwantedSoftware($filename, $filepath, $meta_info, $hash) from Potentially_unwanted_software_copy {
(filename == $filename or filename == "*")
and (filepath == $filepath or filepath == "*")
and (meta_description == $meta_info or meta_description == "*")
and (hash == $hash or hash == "*")
}
(filename == $filename or filename == "*")
and (filepath == $filepath or filepath == "*")
and (meta_description == $meta_info or meta_description == "*")
and (hash == $hash or hash == "*")
}
SA
event PUS_started:
key:
event_src.host
filter {
(
(
msgid == "4688"
and event_src.title == "windows"
)
or (
msgid == "ProcessStarted"
and event_src.title == "endpoint_monitor"
)
or (
msgid == "1"
and event_src.title == "sysmon"
)
)
and exec_query("CheckUnwantedSoftware", [
lower(object.name),
lower(object.path),
lower(object.value),
lower(object.hash)
])
and not exec_query("CheckSpecificValueWhitelist", [
lower(event_src.host),
lower(subject.id),
lower(object.name),
lower(object.hash)
])
}
key:
event_src.host
filter {
(
(
msgid == "4688"
and event_src.title == "windows"
)
or (
msgid == "ProcessStarted"
and event_src.title == "endpoint_monitor"
)
or (
msgid == "1"
and event_src.title == "sysmon"
)
)
and exec_query("CheckUnwantedSoftware", [
lower(object.name),
lower(object.path),
lower(object.value),
lower(object.hash)
])
and not exec_query("CheckSpecificValueWhitelist", [
lower(event_src.host),
lower(subject.id),
lower(object.name),
lower(object.hash)
])
}
RS
Try to test it in SDK GUI first
SA
ok
2021 May 31
PN
Добрый день. В MaxPatrol 10 (SIEM) на данный момент имеет шаблон разбора syslog событий от FortiGate (FortiOS 7) ?
RS
а они от 5 и 6 версии отличаются?
PN
Вот если бы я знал ответ на этот вопрос. У меня сейчас на стенде только FortiOS версии 7
m
если есть пример экспорта - можем глянуть.
RS
Ну парсеры для 5 и 6 версий точно есть. Вы можете сами посмотреть, есть ли что-то ненормализующееся. Практика показывает, что обычно меняется очень немногое
PN
Они не нормализируются
PN
AK
Добрый день!
А поделитесь, пожалуйста, описанием и / или примерами того, как писать сценарии для отладки поправил корреляции в sdk gui :)
А поделитесь, пожалуйста, описанием и / или примерами того, как писать сценарии для отладки поправил корреляции в sdk gui :)
IY
Скоро вебинар на эту тему будет
AK
Верю, уже записался :)
2021 June 01
AK
ну хоть образец для одного события, неужели ни у кого нету?
то есть 1 событие, 10 раз.
когда ещё этот вебинар :)
то есть 1 событие, 10 раз.
когда ещё этот вебинар :)
ES
Привет.
Подскажите по своему опыту, на Windows Server какого года SIEM для низконагруженных систем работает стабильнее, меньше конфликтов?
Подскажите по своему опыту, на Windows Server какого года SIEM для низконагруженных систем работает стабильнее, меньше конфликтов?