R
как то так. Явно идет eventlog ? но экранирование кавычек сбивает с толку
Size: a a a
2021 September 02
E
это соломенная подстилка для нормализатора. вам для чего надо их убрать?
R
Не совсем понял про соломку :)
R
Нужно разобрать событие, а вот с ним как то напряг вышел
m
а целиком событие можно? может это кранирвоание в выгрузке а нев событии?
и это точно не обычный eventlog который и атк разбирается?
и это точно не обычный eventlog который и атк разбирается?
R
да, это в выгрузке такое получили.
R
SF
А в поле body как выглядит?
m
пока это очень похоже на обычный eventlog и будет нормализовываться коробочными формулами, елси забирается MP SIEM по eventlog
R
SF
Как уже выше указали, должно работать без танцев с бубном. В правиле нормализации только ключевое слово EVENTLOG используйте.
Например
EVENTLOG = 'EventID.text="777"'
COND = ($Data["lastName"]=="Ivanov" and month(datetime($Data["birthDate"]))>=5)
datafield1 = $Data["phoneNumbers"][0]
Например
EVENTLOG = 'EventID.text="777"'
COND = ($Data["lastName"]=="Ivanov" and month(datetime($Data["birthDate"]))>=5)
datafield1 = $Data["phoneNumbers"][0]
m
нормализуется из коробки формулой
PT_Microsoft_Windows_eventlog_4798_A_users_local_group_membership_was_enumerated
PT_Microsoft_Windows_eventlog_4798_A_users_local_group_membership_was_enumerated
2021 September 03
R
то есть , в принципе на экранирование внимания обращать не стоит?
R
Вот только такого коробочного правила у меня в системе нет 😩(
m
В общем случае - стоит. В данном случае никакого дополнительного экранирования и нет.
m
А какая версия?
Время обновиться?)
Время обновиться?)
R
23.0.3539 вроде бы с данной ветки одна из последних. Переход на более свежие версии 24 не рассматривается
R
база знаний тоже актуальная, последняя
E
я бы на 23.1 апнул. правда не уверен что туда уже принесли нужную формулу
R
Ну, в крайнем случае сами допишем что либо подобное. А насчет 23.1 пока не знаю особенностей перехода ( в том числе и того, как легально это сделать, не слетит ли лицензия (покупалась то 23.0 версия))