В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MaxPatrol SIEM

979 membersпожаловаться на группу
2019 September 27

Z

Zer🦠way in MaxPatrol SIEM
если я буду групировать по ключам то каким
источник
11:57пожаловаться#1

RS

Roman Sergeev in MaxPatrol SIEM
обратите внимание на то, что вы говорите о списках, заполняемых правилами
значит, все эти данные есть в событиях (кроме внешних данных (фиды, ассетгриды), конечно)
зачем вам промежуточное состояние в табличках, которое надо поддерживать?
источник
11:59пожаловаться#2

МЖ

Максим Жевнерев... in MaxPatrol SIEM
потому что в списке все эти данные уже правильно сгруппированы и посчитаны и отображают актуальный статус. А сделать тоже самое выборкой с вероятностью почти 100% - не выйдет
источник
12:00пожаловаться#3

Z

Zer🦠way in MaxPatrol SIEM
Roman Sergeev
обратите внимание на то, что вы говорите о списках, заполняемых правилами
значит, все эти данные есть в событиях (кроме внешних данных (фиды, ассетгриды), конечно)
зачем вам промежуточное состояние в табличках, которое надо поддерживать?
смотрите, у меня есть правило mass_smb_connect , я пишу в таблицу src_ip count
источник
12:00пожаловаться#4

Z

Zer🦠way in MaxPatrol SIEM
я хочу видеть перед глазами как меняется count и добавляются ли новые ip
источник
12:01пожаловаться#5

Z

Zer🦠way in MaxPatrol SIEM
если я буду делать фильтр то мне на каждый ip надо делать фильтр
источник
12:01пожаловаться#6

RS

Roman Sergeev in MaxPatrol SIEM
эта табличка является фактически материализованным представлением
при этом есть отличный вопрос о том, как будет осуществляться чистка старых данных
источник
12:03пожаловаться#7

Z

Zer🦠way in MaxPatrol SIEM
данные хранятся сутки
источник
12:03пожаловаться#8

m

max in MaxPatrol SIEM
correlation_name=xxx, группировка по src.ip, count -> в виджеты?
можно дополнить over time
или я неправильно понимаю задачу?
источник
12:03пожаловаться#9

МЖ

Максим Жевнерев... in MaxPatrol SIEM
где-то по ttl, где-то правилами
источник
12:03пожаловаться#10

Z

Zer🦠way in MaxPatrol SIEM
max
correlation_name=xxx, группировка по src.ip, count -> в виджеты?
можно дополнить over time
или я неправильно понимаю задачу?
хм, давай попробую
источник
12:04пожаловаться#11

К

Кац in MaxPatrol SIEM
Roman Sergeev
эта табличка является фактически материализованным представлением
при этом есть отличный вопрос о том, как будет осуществляться чистка старых данных
это уже наши сексуальные трудности, как разработчиков. я вешаю отдельный таймстэмп, по которому определяю, редактировать запись или создавать новую. старые не изменяются, истекают и вылетают из списка по ттл
источник
12:04пожаловаться#12

RS

Roman Sergeev in MaxPatrol SIEM
Максим Жевнерев
где-то по ttl, где-то правилами
чистка по TTL хорошо работает на фактах, а не агрегатах
источник
12:05пожаловаться#13

МЖ

Максим Жевнерев... in MaxPatrol SIEM
см выше :)
источник
12:05пожаловаться#14

К

Кац in MaxPatrol SIEM
Roman Sergeev
чистка по TTL хорошо работает на фактах, а не агрегатах
выше пример, что чистка по ttl прекрасно работает на агрегатах
источник
12:05пожаловаться#15

К

Кац in MaxPatrol SIEM
а, Макс был быстрее
источник
12:05пожаловаться#16

МЖ

Максим Жевнерев... in MaxPatrol SIEM
:)
источник
12:05пожаловаться#17

RS

Roman Sergeev in MaxPatrol SIEM
Кац
это уже наши сексуальные трудности, как разработчиков. я вешаю отдельный таймстэмп, по которому определяю, редактировать запись или создавать новую. старые не изменяются, истекают и вылетают из списка по ттл
да, я понимаю всё это
и таймер можно самим сделать через фиктивные события
просто оно не айс всё
источник
12:06пожаловаться#18

МЖ

Максим Жевнерев... in MaxPatrol SIEM
а если еще есть join по спискам, то можно вообще чудеса творить
источник
12:07пожаловаться#19

RS

Roman Sergeev in MaxPatrol SIEM
Максим Жевнерев
а если еще есть join по спискам, то можно вообще чудеса творить
join по всему, желательно
источник
12:07пожаловаться#20