NK
Как я уже сказал в 21 релизе это будет работать ;)
а когда он намечается?
Size: a a a
2019 April 03
D
ID:793544149
а когда он намечается?
А вот тут я вам не скажу..
e
описание доступно в операторгайде раздел 7.2.6
Спасибо!
Действительно всё подробно описано.
Исправлюсь - буду чаще заглядывать в опергайд)
Действительно всё подробно описано.
Исправлюсь - буду чаще заглядывать в опергайд)
RS
А в девгайде по адресу 9.5.6 есть пример заполненной структуры endpoints
NA
если все пойдет гладко, то r21 будет показан на phd. там много чего интересного появилось.
К
А как же r20?
12
А как же r20?
Дань моде как и айфон 9)
IS
А в девгайде по адресу 9.5.6 есть пример заполненной структуры endpoints
Обновил знания, то что там написано, я извиняюсь, фигня) ну точнее если я правильно понимаю, то это капля в море, вот если бы там был полный json по одному активу со всеми возможными значениями, вот это было бы круто)
RS
это проекция
там никогда не было всего актива
там никогда не было всего актива
IS
это проекция
там никогда не было всего актива
там никогда не было всего актива
Не спорю, но в том то и дело что без подробного описания не понятно что там вообще есть и как этим можно пользоваться
RS
всегда стоит идти от практических кейсов
в системах с такой нагрузкой следует крайне аккуратно выбирать объём и структуру данных, в которых можно искать запросами
в системах с такой нагрузкой следует крайне аккуратно выбирать объём и структуру данных, в которых можно искать запросами
RS
мы с удовольствием выслушаем пожелания по тому, что вы хотите искать на потоке
IS
Как я понял в 21 все будет по другому, так что нужно подождать и посмотреть, может там уже будет что нужно
IS
Коллеги, а возможно ли в правиле корреляции оперировать данными актива? В частности интересует возможность оперировать уязвимостями, а точнее cve'шками. Используется(допустим логон) компьютер с cve 2015 года значит инцидент
А так кейс я описывал
Это конечно не совсем к сиему, но что то типо контроля патчменеджмента
Это конечно не совсем к сиему, но что то типо контроля патчменеджмента
RS
Как я понял в 21 все будет по другому, так что нужно подождать и посмотреть, может там уже будет что нужно
В R21 у вас будет та же возможность управления проекциями в пределах мощности PDQL, что и в 19.1. Просто мощность подрастёт.
2019 April 05
Z
когда сиему и ksc скучно)))) ksc свой карантин проверяет...а сием создает инциденты о свеженайденной малвари... это за 24 часа
АЗ
Это чисто у нас косяк? Или сием в принципе такой молодец?
IS
коллеги, подскажите пожалуйста, почему может некорректно отрабатывать правило корреляции? (во вложении)
Как задумано: при возникновении события "Test_event" генерируется инцидент и в табличный список "Table_test" записываются IP и имя пользователя из события. При повторном возникновении события "Test_event" с теми же данными коррелятор находит запись в списке и не генерирует инцидент.
Как работает: инциденты генерируются на каждое событие "Test_event"...
Запись в списке каждый раз обновляется.
Подскажите, в чем может быть причина? Заранее огромное спасибо!
Как задумано: при возникновении события "Test_event" генерируется инцидент и в табличный список "Table_test" записываются IP и имя пользователя из события. При повторном возникновении события "Test_event" с теми же данными коррелятор находит запись в списке и не генерирует инцидент.
Как работает: инциденты генерируются на каждое событие "Test_event"...
Запись в списке каждый раз обновляется.
Подскажите, в чем может быть причина? Заранее огромное спасибо!
Коллеги, тоже сталкнулся с подобной проблемой
Задача была сделать отдельный инцидент при сработке "нового" правила корреляции(которое не срабатывало за последние две недели)
Было создано правило обогащение, и тс к этому правилу, правило записывает в список наименование и время сработавшего правила корреляции
Было создано правило корреляции, которое реагирует на другие срабатывающие правила корреляции и если такого нет в тс или время последней сработки больше 14 дней генерит дополнительное событие
Так вот средний лаг между сработкой первого правила(записи в тс) и прекращением генерации дополнительных событий 14 минут
Задача была сделать отдельный инцидент при сработке "нового" правила корреляции(которое не срабатывало за последние две недели)
Было создано правило обогащение, и тс к этому правилу, правило записывает в список наименование и время сработавшего правила корреляции
Было создано правило корреляции, которое реагирует на другие срабатывающие правила корреляции и если такого нет в тс или время последней сработки больше 14 дней генерит дополнительное событие
Так вот средний лаг между сработкой первого правила(записи в тс) и прекращением генерации дополнительных событий 14 минут
AC
Это чисто у нас косяк? Или сием в принципе такой молодец?
у Касперского события проверки карантина и обнаружения новой малвари одинаковый ID. Соответственно СИЕМ думает что это новая малварь.