Z
max
Да все осталось как раньше)
До 19 было не так
Size: a a a
2019 October 25
m
Хм... API экспорта/импорта не менялся с 16 или 17 релиза (afair)
Z
Вот! Вот они золотые слова с которых все начинается!
А вообще это всему виной...я полез делать интеграцию и как то затянулся в репутационные списки
Z
max
Хм... API экспорта/импорта не менялся с 16 или 17 релиза (afair)
Хм, всегда так криво было ?:)
Z
Вот репутационные списки логично импортировать
Z
То что добавляется кореляциями и обогащениями нет
m
Раньше не было репутационных списков, однако. Теперь есть.
RS
Я согласен, что термин "репутационный список" вносит определённое недопонимание
фактически, это списки, схема которых определяется в PT при разработке cybsi-lite и адаптеров к ней
у пользователя нет доступа к изменению схемы
и очень неявный доступ к управлению содержимым, который сводится к выбору из нескольких альтернатив
фактически, это списки, схема которых определяется в PT при разработке cybsi-lite и адаптеров к ней
у пользователя нет доступа к изменению схемы
и очень неявный доступ к управлению содержимым, который сводится к выбору из нескольких альтернатив
NA
так может тогда его и назвать cybsi список. Сейчас, если я пишу интеграцию, заливающую сторонний фид в MP хочется взять именно тип списка - репутационный... а там облом
RS
я специально сейчас нарисовал эту табличку, что было ясно, как следует поступать
скрипты от @i_zer0way работают с двумя последними типами, потому что они ориентированы на API SIEM
можно сделать аналогичные для справочников через API PTKB
на этом альтернативы для самописной интеграции пока исчерпываются
скрипты от @i_zer0way работают с двумя последними типами, потому что они ориентированы на API SIEM
можно сделать аналогичные для справочников через API PTKB
на этом альтернативы для самописной интеграции пока исчерпываются
RS
в порядке пятничной перверсии можно еще через filemonitor/odbclog забрасывание данных сделать, но это NSFW/18+/нескрепно и просто не повторяйте это дома
RS
так может тогда его и назвать cybsi список. Сейчас, если я пишу интеграцию, заливающую сторонний фид в MP хочется взять именно тип списка - репутационный... а там облом
важно название или ехать?
NA
Важно не путать и не получать проблемы на ровном месте
NA
Залить через зачитывания как лог.... ооо, да это же ArcSight!
NA
Reference set of set еще не завезли?
NA
чтоб тут как в Qradar
NA
лучшие практики от мировых вендоров
RS
Таблицы это оно и есть
RS
Не KV