К
это может быть из-за типа данных?
Срц хост в любом случае string
Size: a a a
2019 October 10
IY
Срц хост в любом случае string
я уже просто все перепробовал)
К
пробовал на 1 час сократить. без результата
Без цепочки работает?
IY
Без цепочки работает?
да, каждое событие по отдельности отрабатывает
IY
думаю ещё через and их попробовать
IY
грешу на ->
К
Ещё timer попробуйте
RS
думаю ещё через and их попробовать
Не повредит, да
IY
Не повредит, да
но тогда получается у меня может возникнуть ситуация, когда сработку вызовет успешный логин, который был раньше блокировки)
RS
Это так. Просто для проверки. В проде такое не надо в вашем случае. Есть неподтвержденные опасения, что когда-то кто-то наблюдал такое на очень близких друг к другу во времени событиях и речь там была о секунде-двух и старых версиях. У вас то 24 часа
IY
Это так. Просто для проверки. В проде такое не надо в вашем случае. Есть неподтвержденные опасения, что когда-то кто-то наблюдал такое на очень близких друг к другу во времени событиях и речь там была о секунде-двух и старых версиях. У вас то 24 часа
через and отработало, что с -> не так?)
ML
через and отработало, что с -> не так?)
события могут непоследовательно долетать) Используйте and
IY
события могут непоследовательно долетать) Используйте and
Я выждал специально
ML
mp siem он такой😅
A
Вопрос: в MP SIEM дата\время указанное в поле "Host@UpdateTime Дата и время последнего обновления актива" означает, что после этого времени события с источника не приходили или что-то другое?
RS
Скорее сканы или обновления хоста через события
D
Artur
Вопрос: в MP SIEM дата\время указанное в поле "Host@UpdateTime Дата и время последнего обновления актива" означает, что после этого времени события с источника не приходили или что-то другое?
Время последнего получения событий вы можете в мониторинге источников посмотреть
A
Время последнего получения событий вы можете в мониторинге источников посмотреть
есть только имя актива, время создания актива и дата последнего обновления актива на скриншоте. хотелось бы узнать что означает последнее. в документации по поиску не нашел, консоли под рукой нет
IY
я не знаю почему, но заработало после того, как я стрелочку скопировал из системного правила))
D
Artur
есть только имя актива, время создания актива и дата последнего обновления актива на скриншоте. хотелось бы узнать что означает последнее. в документации по поиску не нашел, консоли под рукой нет
Конкретно это поле, как и ответил @truerps , любое обновление конфигурации актива(сканирование, события, ручное редактирование, импорт из csv)