Телеграмм чат группы MPSIEMChat страница 174

Так и скажи, что зуд от конфиденциальной информации,

🙌

07:52пожаловаться #1

IS

Коллеги, а возможно ли в правиле корреляции оперировать данными актива? В частности интересует возможность оперировать уязвимостями, а точнее cve'шками. Используется(допустим логон) компьютер с cve 2015 года значит инцидент

Коллеги, в продолжение темы с CVE, нашел интересное встроенное правило
Интересует что представляет из себя Vulners? Список, строка или ещё что
Найти Vulners в интерфейсе не удалось, на select_query_first в корреляции ругается валидатор

12:15пожаловаться #2

D

Коллеги, в продолжение темы с CVE, нашел интересное встроенное правило
Интересует что представляет из себя Vulners? Список, строка или ещё что
Найти Vulners в интерфейсе не удалось, на select_query_first в корреляции ругается валидатор

массив из строк
"Vulners": [
"CVE-2016-2183",
"CVE-2013-2566",
"CVE-2014-3566",
"CVE-2015-1635"
],

12:19пожаловаться #3

IS

Возможно только полное сравнение или частичное тоже? Что-то вроде *2015*

12:20пожаловаться #4

D

Коллеги, в продолжение темы с CVE, нашел интересное встроенное правило
Интересует что представляет из себя Vulners? Список, строка или ещё что
Найти Vulners в интерфейсе не удалось, на select_query_first в корреляции ругается валидатор

это правило использует данные из модели актива, с 21 релиза в таком виде оно перестанет работать....

12:21пожаловаться #5

D

Возможно только полное сравнение или частичное тоже? Что-то вроде *2015*

на это я не смогу ответить(
думаю кто-то более компетентный ответит 😉

12:21пожаловаться #6

IS

на это я не смогу ответить(
думаю кто-то более компетентный ответит 😉

Есть тут кто такой?🤔

12:23пожаловаться #7

e

на это я не смогу ответить(
думаю кто-то более компетентный ответит 😉

Хотелось бы получить описание текущей модели, к которой можно обращаться в правилах через вызов "endpoints", т к она не соответствует той модели, которая на вкладке "Активы".

12:25пожаловаться #8

e

Не все быстро обновятся до R21, а такой инструмент хочется использовать.

12:25пожаловаться #9

IS

Не все быстро обновятся до R21, а такой инструмент хочется использовать.

+100500)

12:26пожаловаться #10

RS

Roman Sergeev in MaxPatrol SIEM

Endpoints можно в 19.1

12:30пожаловаться #11

D

Хотелось бы получить описание текущей модели, к которой можно обращаться в правилах через вызов "endpoints", т к она не соответствует той модели, которая на вкладке "Активы".

смотрите, в 19.1 появились табличные списки из грида активов, которые дублируют этот функционал, за исключением Уязвимостей(vulners), Групп активов(groups), и контекстных метрик(Env)

12:35пожаловаться #12

IS

смотрите, в 19.1 появились табличные списки из грида активов, которые дублируют этот функционал, за исключением Уязвимостей(vulners), Групп активов(groups), и контекстных метрик(Env)

😁за исключением самого вкусного)

12:37пожаловаться #13

D

😁за исключением самого вкусного)

самое вкусное в 21 релизе 😉

12:37пожаловаться #14

e

смотрите, в 19.1 появились табличные списки из грида активов, которые дублируют этот функционал, за исключением Уязвимостей(vulners), Групп активов(groups), и контекстных метрик(Env)

Не могли бы вы описать процесс автоматизированного обновления этих ТС?

13:36пожаловаться #15

e

Ну или сказать в каком доке это описано)

13:36пожаловаться #16

D

Не могли бы вы описать процесс автоматизированного обновления этих ТС?

Обновляются они автоматически при изменении активов..

14:01пожаловаться #17

D

Ну или сказать в каком доке это описано)

Чуть позже напишу где читать

14:01пожаловаться #18

e

Чуть позже напишу где читать

Спасибо)
Ждем

14:02пожаловаться #19

a

alaniel in MaxPatrol SIEM

Добрый день, коллеги. Подскажите, пожалуйста, в формулах нормализации событий от ksc
GNRL_EV_OBJECT_BLOCKED, GNRL_EV_OBJECT_CURED, GNRL_EV_OBJECT_DELETED, GNRL_EV_OBJECT_QUARANTINED action=detect выставляется по ошибке?