К
коллеги, вопрос: для работы условия event1 -> not event2 события event1 и event2 должны иметь одинаковые поля из числа тех, что перечислены в key?
Size: a a a
2019 April 10
RS
Условие связывания не зависит от структуры цепочки
AC
Количество key полей должно быть одинаковое и формат поля которое сравнивается должен совпадать. Сами поля могут быть разными
event1 :
key:
subject.name, src.ip
event2:
key:
object.name, dst.ip
event1 :
key:
subject.name, src.ip
event2:
key:
object.name, dst.ip
AC
в этом случае срвнение идет subject с object и src с dst
К
в этом случае срвнение идет subject с object и src с dst
огонь! спасибо!
IS
коллеги, вопрос: для работы условия event1 -> not event2 события event1 и event2 должны иметь одинаковые поля из числа тех, что перечислены в key?
Not у последнего события странно работает, у меня в одном случае работает, в другом нет
А вообще в документации написано что так делать нельзя)
А вообще в документации написано что так делать нельзя)
RS
Можно с таймером
К
да, у нас таймер.
К
иначе можно сделать бесконечную корреляцию)
IS
Можно с таймером
Хм, надо посмотреть что в неработающем правиле
IS
Таймер всмысле ограничение по времени или именно timer?
RS
Таймер всмысле ограничение по времени или именно timer?
timer. Терминировать такие штуки в терминах событийного времени приведёт к сильным задержкам (до суток)
IS
timer. Терминировать такие штуки в терминах событийного времени приведёт к сильным задержкам (до суток)
Вроде по русски, но я нифига не понял🙃
I
Всем привет! По многочисленным просьбам, мы создали чатик-комьюнити по MaxPatrol 8 https://t.me/mp8chat, для обмена знаниями, поиска ответов на решение задач и сбора обратной связи в форме свободного общения. Хотелось бы сразу обратить внимание, что чатик не является: официальным каналом технической поддержки, для этого есть https://support.ptsecurity.com/. Добро пожаловать!
@vbengin может запинить чтобы не потерялось среди переписки или в описание ссылку на чат МР8 добавить?
RS
Наш коррелятор работает с непорядоченным потоком событий. Корреляция a->b->c срабатывает даже если a будет собрано сильно позже c
IS
Наш коррелятор работает с непорядоченным потоком событий. Корреляция a->b->c срабатывает даже если a будет собрано сильно позже c
RS
Если дописать туда not d, возникает вопрос, а сколько ждать его отсутствия. Поэтому такие цепочки работают с таймером и не допускают сильного запаздывания
AV
Минута самолюбования вендора. у нас вышел новый пакет экспертизы. Загружайте, используйте, комментируйте
AV
Z
ооокей