Телеграмм чат группы MPSIEMChat страница 1436

Size: a a a

MaxPatrol SIEM & VM

1525 membersпожаловаться на группу

2021 July 14

Andrey Egorov in MaxPatrol SIEM & VM

как то так

источник

16:16пожаловаться #1

max in MaxPatrol SIEM & VM

можно еще сабформулой, если там действительно валидный xml
как-то так
TEXT = '..... {$xmldata=REST}'

subformula "xmltext"
XML = 'data'
datafield1=$data/@method
datafield2=$data/@client
endsubformula

submessage ("XML", "xmltext", $xmldata)

источник

16:51пожаловаться #2

Alexander Nevsky in MaxPatrol SIEM & VM

Здравствуйте! Кто-нибудь может подсказать уникальности сиема по сравнению с другими? Кто-нибудь делал сравнение? Сейчас сертовая версия же 23?

источник

18:55пожаловаться #3

2021 July 16

Валентин in MaxPatrol SIEM & VM

Добрый день, может кто помочь, почему возникает ошибка? куда копать?
"
BUILD_RULES [Err] :: error: while validating json document 'Schema' by json-schema. Invalid schema keyword 'allOf' (#/components/schemas/Table) for document '#/Rank'
"

источник

16:19пожаловаться #4

Mikhail M in MaxPatrol SIEM & VM

Добрый день!
Есть проблемы несоответствия контракту схемы табличных списков, судя по всему для табличного списка с именем Rank.
Перепроверьте, что не допустили ошибок, когда вручную редактировали схему табличных списков.

источник

19:09пожаловаться #5

2021 July 19

Валентин in MaxPatrol SIEM & VM

Схема и заполнение ее для бд, вроде ошибок нет, пробовал уже много как и все равно эта ошибка

источник

10:33пожаловаться #6

Валентин in MaxPatrol SIEM & VM

источник

10:33пожаловаться #7

МБ

Максим Быков... in MaxPatrol SIEM & VM

Добрый день!
Где в SIEM 23.0.3539 теперь создаются правила корреляции? Как зайти в конструктор правил?

источник

10:59пожаловаться #8

Roman Sergeev in MaxPatrol SIEM & VM

Говоря теперь, вы подразумеваете, что перешли с какого-то релиза? А с какого? Вообще все в ptkb в пакетах экспертизы

источник

11:01пожаловаться #9

МБ

Максим Быков... in MaxPatrol SIEM & VM

Куда зайти что бы отредактировать правило?

источник

11:04пожаловаться #10

МБ

Максим Быков... in MaxPatrol SIEM & VM

источник

11:04пожаловаться #11

МБ

Максим Быков... in MaxPatrol SIEM & VM

Старая сборка 21.*

источник

11:05пожаловаться #12

max in MaxPatrol SIEM & VM

SIEM content - системная БД контента, нередактируемая.
Нужно сделать свою ветку и там можно будет и свое писать и делать копию системного и редактировать.

источник

11:07пожаловаться #13

МБ

Максим Быков... in MaxPatrol SIEM & VM

Спасибо!

источник

11:23пожаловаться #14

ДП

Дмитрий Пупынин... in MaxPatrol SIEM & VM

Добрый день! Вопрос такой при загрузке логов, по правилу корреляции выдает определенное число инцидентов в событиях, а в самой вкладке инциденты это число продолжает расти, так и должно быть? Или правило неправильно отрабатывает?

источник

14:41пожаловаться #15

Pryanik in MaxPatrol SIEM & VM

крутяк
а можешь подсказать как именно проверяете соответствие ГОСТ Р 57580.1-2017 ?
подобное есть для NADa по матрице MITRE https://habr.com/ru/company/pt/blog/493082/
хотелось бы аналогичное для MP по ГОСТу)

Хабр

Как системы анализа трафика обнаруживают тактики хакеров по MITRE ATT&CK на примере PT Network Attack Discovery

Согласно Verizon, большинство (87%) инцидентов ИБ происходят за считанные минуты, а на их обнаружение у 68% компаний уходят месяцы. Это подтверждается и исслед...