Вы же их через cybsi забираете?

мы очень любим этот список за создание нагрузки )))

yep

Пример бы правила, как вы с ним потом работаете

работать то вам
мы можем только рекомендации дать по тому, как использовать и не сломать ничего

и это не зависит от того, кибси или не кибси является источником
проверяешь в обогащении
если совпало, проставляешь какой-то маркер в одно из полей, а в другое идентификатор записи или само значение индикатора
потом в корреляции фильтруешь поток по маркеру
в обработчике можно сделать lookup по идентификатору в список и вытащить из него доп.инфу для обогащения алерта/инцидента

если очень надо, могу и код показать примерный
но он тривиален

в R21 оно может искать само (когда настроишь) и отрабатывать ретроспективно на новые IOC-и в прошлое, создавая алерт заданной структуры и контента
алерты можешь уже дообработать на корреляторе или обогащении, если есть что там дописать или наоборот схлопнуть

с корреляциями ретроспективы не получится (пока)
ну и вообще оно может дать лишней нагрузки

О как, обдумаю и напишу

важно то, что не надо смешивать источник данных и их использование
cybsi лишь адаптер для автоматического заполнения
твои любимые скрипты с точки зрения использования загружаемых ими данных ничем не хуже

тип списка нигде в корреляторе или новых фичах R21 не важен (в контексте работы с IOC)

опять китай)

скоро спамить начнет)

доброе утро)

добавьте phtml,pht,php3,php4,php5,php7. По личному опыту скажу, что много где загрузка php невозможна а вот phtml пожалуйста

точно исключить?)

по моему вы исключили из мониторинга всё вот это)

по ключам реестра тоже исключили

оо началось)

А я думал зачем в продуктах позитива поддержка корейского языка...