К
Навскидку ничего не приходит. Надо в саппорт пилить, это какой-то полтергейтс.
Size: a a a
2018 October 10
K
эх... значит саппорт...
MI
Было (возможно есть) то же самое, timer 5m собирал события с разбросом в 18 часов
K
Как-то побороли?
MI
rule Local_host_scan: (Fw_scan[10,] with different dst.port) timer 10m
MI
K
кажется, не побороли)
MI
Тикет заводился под версию 18.1.2086
Итоговый ответ ТП:
Данная ситуация не воспроизводится на релизе 18.2.
Вы можете попробовать воспроизвести данное поведение на обновлённом стенде.
Best regards,
Roman Kyarimov
Technical Support Engineer
Итоговый ответ ТП:
Данная ситуация не воспроизводится на релизе 18.2.
Вы можете попробовать воспроизвести данное поведение на обновлённом стенде.
Best regards,
Roman Kyarimov
Technical Support Engineer
MI
После не смотрел
K
ок, спасибо за ответ
HN
на скрине одна корреляция, остальные нормализованные просто. не?
К
на скрине одна корреляция, остальные нормализованные просто. не?
Это список событий инцидента же.
K
Это список событий, из которых скоррелировалось новое
HN
Это список событий, из которых скоррелировалось новое
скинь код правила в личку
K
Ну это только завтра уже
K
А вообще, говорю же, это стандартное, из коробки
2018 October 11
K
еще небольшой вопрос. возможно ли использование функции in_subnet в правилах корреляции в директиве query в 18-й версии? в документации возможность явно описывается только с 19-й версии...
G
еще небольшой вопрос. возможно ли использование функции in_subnet в правилах корреляции в директиве query в 18-й версии? в документации возможность явно описывается только с 19-й версии...
Да, все так. Можно регэкспом решить проблему
K
Хм, если "да, все так", то зачем решать регэкспом?)
HN
в 18 версии в квери нельзя писать функцию