IS
Удобнее конечно на ui, но хрестоматийно верно в cmd)
Size: a a a
2019 April 30
NA
Плескану масда в огонь: 1. Unofficial UI станет базовым способом разработки нормализации. На нем у нас живет почти вся комманда, поддерживающая источники. Не поверите, часть команды так же пишет в блакноте, т.к. им так удобнее.
NA
2. Для разработки правил корреляции приедет конструктор
KM
Плескану масда в огонь: 1. Unofficial UI станет базовым способом разработки нормализации. На нем у нас живет почти вся комманда, поддерживающая источники. Не поверите, часть команды так же пишет в блакноте, т.к. им так удобнее.
NOOOOOOOO 😭
NA
Да, можно уже начинать делать эмодзи с релизом R21, т.к. все там
IS
По опыту лучшая отладка это отладка в системе)
NA
NOOOOOOOO 😭
Кирилл, если у вас есть конструктивняе предложения, давайте пообщаемся. Попробуем учесть ваши боли.
NA
По опыту лучшая отладка это отладка в системе)
Unofficial SDK для этого и будет дорабатываться.
NA
Целевой воркфлоу: выдернуть события из SIEM, сделать новое правило или доработать старое, залить в SIEM через PT KB
NA
Unofficial SDK (точнее уже Official SDK) будет потихоньку вписываться в этот workflow
NA
Про то, что SDK работает не так, как поточные компоненты. Каюсь, - это наш косяк. В каждом релизе мы работаем над этой проблемой
KM
Кирилл, если у вас есть конструктивняе предложения, давайте пообщаемся. Попробуем учесть ваши боли.
Конструктивных нет) Просто в консоли как то привычнее что ли
NA
А консоль никто не отбирает )
KM
Оказуалили siem 😔
KM
А консоль никто не отбирает )
Тогда ок)
G
Собственно unofficial UI это просто вызов из UI консольных команд. Поэтому я такой опрос и затеял
IY
Целевой воркфлоу: выдернуть события из SIEM, сделать новое правило или доработать старое, залить в SIEM через PT KB
лично я поддерживаю этот подход, как и конструктор правил.
это уменьшает порог вхождения для людей из эксплуатации
это уменьшает порог вхождения для людей из эксплуатации
IY
А значит упрощает внедрение
G
Gullible Beaver
На чем вы предпочли бы учиться отладке правил нормализации, корреляции, обогащения
Анонимный опрос
30%
Командная строка, так понятнее
42%
Unofficial UI, так удобнее
28%
PTKB, к черту отладку, я сложных правил все равно не пишу
Up
M
Консольные команды это прикольно, но при больших объемах и отсутствии документирования порождает костылинг. Кто, что, зачем это сделали, почему так, а не этак? Как это вообще работает? Продираться сквозь кучу скриптов то ещё удовольствие.