добрый день, не подскажите по сиемке, переодически бывают инциденты Windows_Malicious_system_like_process_started
с событиями типа: Подозрительный процесс C:\Windows\System32\ запущен из подозрительного каталога или не от имени пользователя SYSTEM на узле ....Пользователь ..... создал новый процесс "csrss.exe" на узле .....
то же самое с процесами winlogon.exe, lsass.exe, svchost.exe
на разных машинах, включая доменконтроллеры

А из под кого у вас в действительности запущен lsass?

Посмотри в табличный список для этого правила и посмотри в тригерящие события. Смутно помню, что-то там с путями для исключений

Пишет, что под пользователем ПК

Локальным админом

можете показать нормализованное событие, на которое оно триггернулось?
секретные адреса замажьте

можно в личку

лучше в личку ага)

Баг нашли. Обновление экспертизы выпустим

Всем добрый день! Подскажите пожалуйста, при обновлении SIEM, обновы ставить последовательно (если давно не обновлялись и там несколько версий накопилось) или сразу последнюю версию?

добрый день!
обычно в installation_guide на новую версию описано с каких версий можно обновиться

Спасибо

Дубли шлет каспер. Uuid-ы разные оказались.
Пока рабочее решение по борьбе - сделать агрегацию

Интересненько

так себе интерес....

Добрый вечер! Подскажите, пожалуйста, есть ли в каком - то из документов список/табличка поддерживаемых источников (включая версию) для 21 релиза?

Reference Guide?

Ага, можно составить табличку по данным оттуда

Спасибо!)

К вечеру голова уже не варит