К
Максим Максимович
А где вы хотите и что десерилизовать?
события ваши в той поделке, которую обсуждали на ДоД
Size: a a a
2018 October 09
К
точнее, конверты
ММ
Ну это как вам удобно на С же вы планируете что то поделывать))
К
в том плане, что не на плюсах?
К
ну тащем-та ок, принято) значит будет jsonsl
2018 October 10
Z
за что оно меня так?
RS
Там баг. Оно фолсит, как минимум, на винде. Я советую отключить и дождаться набора новых правил / переписать самим
Z
Там баг. Оно фолсит, как минимум, на винде. Я советую отключить и дождаться набора новых правил / переписать самим
отключил) Парни а когда будет набор новых правил?)
V
отключил) Парни а когда будет набор новых правил?)
Можно купить сертификат, на разработку 10 правил корреляции !)
K
Коллеги, вопрос по 18-й версии: есть правило корреляции из коробки Exchange_Spam_attack_from_one_mail_address, которое должно отлавливать рассылку писем в течение минуты с одного адреса. Так вот, происходит по 30-40 ложных срабатываний за сутки, входящие события происходят не за минуту, а за гораздо большее время (до нескольких часов). Почему так происходит?
К
Коллеги, вопрос по 18-й версии: есть правило корреляции из коробки Exchange_Spam_attack_from_one_mail_address, которое должно отлавливать рассылку писем в течение минуты с одного адреса. Так вот, происходит по 30-40 ложных срабатываний за сутки, входящие события происходят не за минуту, а за гораздо большее время (до нескольких часов). Почему так происходит?
А внутри кода правила timer 1m указан?
K
да, правило не менялось, в исходном timer 1m
К
Коллеги, вопрос по 18-й версии: есть правило корреляции из коробки Exchange_Spam_attack_from_one_mail_address, которое должно отлавливать рассылку писем в течение минуты с одного адреса. Так вот, происходит по 30-40 ложных срабатываний за сутки, входящие события происходят не за минуту, а за гораздо большее время (до нескольких часов). Почему так происходит?
а recv_time совпадает со скрином? а между событиями?
K
recv_time совпадает. между событиями?
K
более 1 минуты, если речь об этом.
К
🤔🤔🤔 как-то странно
а если создать пользовательскую копию правила и старое системное остановить? продолжатся ли фолзы?
а если создать пользовательскую копию правила и старое системное остановить? продолжатся ли фолзы?
K
да, была создана копия, чтобы не сыпать инцидентами, изменили $correlation_type = "incident" на $correlation_type = "event", системное правило остановлено
K
результат тот же, фолзы...