Тогда лучше спросить у вашего менеджера от ПТ.

Подскажите, а где можно подсмотреть полный список запрещенных названий полей для корреляционных табличных списков?

Правило, выполняющее вставку в ТС с полем "eventlog", обречено.
Переименовываем поле и в ТС и в правиле в "event_log" => правило проходит валидацию.

Колеги подскажите пожалуйста почему PT KB может не находить SIEM?

PT UCS настроил

хотя из SIEM база обновляется

У Вас SIEM и PTKB+Core на разных машинах? Такое может быть, если и не настроен параметр SiemAddress в ptkb. Параметр меняется 1) mpxptkb get -f c:/1.xml 2) блокнотом поменять параметр на нужный и сохранить 3) mpxptkb set -f c:/1.xml. mpxptkb доступна на машине с установленным PTKB. В процессе ptkb перезагрузится. Убедиться, что системы успешно слинкованы можно на вкладке «Выбор версии SDK». Там будет показана версия сием по указанному в параметре адресу

Спасибо, так и было )

Шел 2019, мы разрабатываем AI и пользуемся блокнотом)

По-моему это многое говорит о блокноте. В 2919 году уже не будет ни архитектуры х86 ни х64, а блокнот будет.

Вот у меня спрашивают, порой, почему на курсах я не показываю unofficial UI для разработки правил. Ведь он прекрасен. Я не спорю, он прекрасен, но меня вот какая мысль не покидает: если я буду показывать отладку в unofficial UI, то люди уже на следующий день после курса не смогут объяснить как он работает, а если я покажу отладку в командной строке, то люди справятся и с ней и с unofficial UI.

Прекрасен? Мне кажется это спорно😁

Здесь 381 участник в чате, среди вас есть люди, которых я обучал. Мне интересно знать ваше мнение, как вы считаете, на чем лучше учиться, на unofficial UI или на командной строке?

Можно быть еще прекраснее, но вы понимаете что я имею ввиду

Инструмент тут не главное, главное объяснить принцип написания правил
Ну и в идеале сделать так что бы механизм отладки работал идентично работе системы

Ну... -cli утилиты из SDK работают идентично системе, насколько это возможно, и вторая вкладка unofficial UI использует именно их

Уже не раз натыкался на то что не так уж идентично работает(

И всё-таки это лучшее что сейчас есть со стороны отладки

Понимаю вашу боль, но мне интересно именно на чем вам было бы удобно обучаться.