В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MaxPatrol SIEM

979 membersпожаловаться на группу
2019 October 09

Z

Zer🦠way in MaxPatrol SIEM
Капибара
Я говорил не так. Я говорил, что стендом который генерит события я рулить не могу, так как он не мой. Т.е. выключить/включить расширенный аудит я не могу. Поэтому мне удачно удалось показать кейс о необходимости расширенного аудита вот таким образом

😛😛😛
а звучало так и сам факт того что нормализация коробочная не разобрала событие до конца
источник
15:40пожаловаться#1

К

Капибара in MaxPatrol SIEM
Zer🦠way
а звучало так и сам факт того что нормализация коробочная не разобрала событие до конца
Оно и оказалось на руку же, я презу пилил разбирая что мы там нагенерили, так что чому бы и не включить.

То, что не нормализовалось я не отказываюсь же ж. Nobody's perfect
источник
15:42пожаловаться#2

IY

Ivan Yakushev in MaxPatrol SIEM
коллеги, добрый день! подскажите, insert_into можно делать по конкретному on <event> или просто по условию?
источник
20:14пожаловаться#3
2019 October 10

E

EИ0Ʇ in MaxPatrol SIEM
Владислав Михайлов
Добрый день. Кто-то сталкивался с ситуацией когда событие попадет в SecretNet, а siem это событие не подгружает?
Видимо в зависимости от версии менялось название таблиц, пришлось тут селект в профиле сбора менять. посмотрите откуда он дергает и есть ли колонки такие в таблице.
источник
10:43пожаловаться#4

IY

Ivan Yakushev in MaxPatrol SIEM
fortrule.txt
(1.43 Кб)
Коллеги, добрый день. Правило не отрабатывает, посмотрите незамыленным взглядом, пожалуйста. Бьюсь целый день. Фильтры рабочие.
источник
15:09пожаловаться#5

RS

Roman Sergeev in MaxPatrol SIEM
Src.host то заполнен с обоих концов?
источник
15:14пожаловаться#6

IY

Ivan Yakushev in MaxPatrol SIEM
Roman Sergeev
Src.host то заполнен с обоих концов?
да, фильтры рабочие
источник
15:14пожаловаться#7

К

Кац in MaxPatrol SIEM
Ivan Yakushev
да, фильтры рабочие
Src.host идентичные?
источник
15:15пожаловаться#8

IY

Ivan Yakushev in MaxPatrol SIEM
Кац
Src.host идентичные?
да, с одного хоста делаем баны сначала, потом успешный вход
источник
15:15пожаловаться#9

К

Кац in MaxPatrol SIEM
Ivan Yakushev
да, с одного хоста делаем баны сначала, потом успешный вход
Записаны абсолютно одинаково?
источник
15:16пожаловаться#10

IY

Ivan Yakushev in MaxPatrol SIEM
Кац
Записаны абсолютно одинаково?
1 событие цепочки
источник
15:18пожаловаться#11

IY

Ivan Yakushev in MaxPatrol SIEM
источник
15:18пожаловаться#12

К

Кац in MaxPatrol SIEM
Ivan Yakushev
Тут вроде правило отработало?
источник
15:21пожаловаться#13

IY

Ivan Yakushev in MaxPatrol SIEM
Кац
Тут вроде правило отработало?
да, но из этого правила следует следующее, которое не работает
источник
15:22пожаловаться#14

IY

Ivan Yakushev in MaxPatrol SIEM
вот второе событие цепочки
источник
15:23пожаловаться#15

IY

Ivan Yakushev in MaxPatrol SIEM
первое событие — корреляционное, второе простое
источник
15:24пожаловаться#16

IY

Ivan Yakushev in MaxPatrol SIEM
как видите, src.host один и тот же
источник
15:24пожаловаться#17

IY

Ivan Yakushev in MaxPatrol SIEM
это может быть из-за типа данных?
источник
15:24пожаловаться#18

К

Кац in MaxPatrol SIEM
А если интервал within сократить?
источник
15:25пожаловаться#19

IY

Ivan Yakushev in MaxPatrol SIEM
пробовал на 1 час сократить. без результата
источник
15:25пожаловаться#20