Телеграмм чат группы MPSIEMChat страница 167

ок, ушел проверять

16:47пожаловаться #1

M IV in MaxPatrol SIEM

В r18 не удавалось заставить работать lower() в левой части сравнения

16:50пожаловаться #2

я до сравнения его использую

16:51пожаловаться #3

пока редактировал правило прилетело два события "Test_event" и не были сгенерированы инциденты

16:52пожаловаться #4

непонятно, но правило отредачил

16:52пожаловаться #5

а last_changed менялся?

16:52пожаловаться #6

нет, о том и говорю, посление два раза правило отработало корректно и скипнуло эти события

16:53пожаловаться #7

после обновления правила появилась новая запись в списке с Username в нижнем регистре

16:55пожаловаться #8

ну понаблюдайте

16:55пожаловаться #9

через минуту сгенерировался повторынй инцидент, last_changed обновился

16:56пожаловаться #10

угу (

16:56пожаловаться #11

похоже на то, что коррелятор не сразу реагирует на изменение списка

16:56пожаловаться #12

еще понаблюдаю...

16:56пожаловаться #13

этого не должно быть в корреляциях
может быть в обогащениях

16:58пожаловаться #14

уже пятый инцидент... пока генерирует на каждое событие

17:00пожаловаться #15

ну, это же генерация инцидента... по моему, в корреляции этому самое место...

17:01пожаловаться #16

Переслано от Roman Sergeev

этого не должно быть в корреляциях
может быть в обогащениях

17:01пожаловаться #17

я про "замедленную реакцию"

17:02пожаловаться #18

устройство вычислительного рантайма разное в этих компонентах

17:03пожаловаться #19

теперь перестали генериться инциденты