Z
чо делать?)
стопнуть кореляцию?
Size: a a a
2019 April 22
К
стопнуть кореляцию?
в первую очередь правило, которое взводит инциденты, да. а потом?)
IS
Gullible Beaver
Теперь насчет удаления инцидентов по расписанию. Я не ослышался? Вы хотите чтобы робот удалял инциденты неглядя? Тогда зачем их заводили? Не лучше ли оттюнить правила корреляции написав в них correlation_type=event?
Можно фильтр сделать, удалять закрытые инциденты
А вообще я честно говоря не очень понимаю сути инцидентов, если только для последующей пересылки в госсопку
А вообще я честно говоря не очень понимаю сути инцидентов, если только для последующей пересылки в госсопку
К
висит куча взведенных инцов в статусе "новый"
Z
в первую очередь правило, которое взводит инциденты, да. а потом?)
А потом писать в сап😁
Z
у меня такая байда была с касперским....
Z
кстати да, пойду мучать сап пт
G
После стопа правила, поправить его и вуаля
К
А потом писать в сап😁
мы привыкли реагировать несколько резче, чем сап пт, особенно учитывая, что при данном вопросе сием у нас формально работает (хотя мы и не можем использовать его для корреляции)
К
Gullible Beaver
После стопа правила, поправить его и вуаля
а пара лимонов взведенных инцов?)
G
А вот с ними вы и будете поступать резко
К
и скорость работы сием, как последствие
К
Gullible Beaver
А вот с ними вы и будете поступать резко
удалять руками?)))
Z
Gullible Beaver
После стопа правила, поправить его и вуаля
не всегда правда правила поможет...у меня вот кейс в саппорте pt где дело не только в корреляции но и в нормализации
К
не всегда правда правила поможет...у меня вот кейс в саппорте pt где дело не только в корреляции но и в нормализации
по кошмарскому?
Z
по кошмарскому?
огаааа
К
гыыы. мы просто нормализацию переписали)
Z
Великий и могучий *не скажу кто* сделал некоторый костыль, но костыль это не решение как мы все понимаем
Z
нуу вы это вы, у вас есть на это компетенции...а я просто смертный
К
