NA
Если серьезно, то просто пишу интеграцию :)
Size: a a a
2019 October 29
ММ
Всем привет. Подскажите, плиз. Есть табличный список, заполняемый правилом корр. Через UI SIEM пытаюсь импортировать файлик. Все заканчивается печально, не смотря на то что схема файла и таблицы совпадает. Чьи логи надо курить?Коммандера?
Пробовал сначало экспорт тестовый сделать?
NA
да, щас вроде разобрались :)
NA
Много нового узнаешь когда начинаешь создавать CSV вне SIEM скриптами
NA
Кстати начался вебминар по Threat Hunting :)
ИБ
Коллеги, добрый день, отправили сюда за консультацией. Подскажите best practice по пилотному серверу с виртуализацией под несколько продуктов.
Ситуация такая:
Имеется сервер с приблизительно следующими характеристиками:
- RAM: 256GB
- HDD RAID-10 SSD: 1,9 TB
- HDD RAID-10 SATA (rpm7200): 8 TB
- CPU: 28 core x 2.2 GHz
Вопрос возник следующий - как распределять виртуальные машины между RAID-SSD и RAID-SATA:
- SIEM: MPX Core+Agent и MPX SIEM+Storage
- MP8
- MP AF
Если только для SIEM возможный EPS составит порядка 2000-3000?
Ситуация такая:
Имеется сервер с приблизительно следующими характеристиками:
- RAM: 256GB
- HDD RAID-10 SSD: 1,9 TB
- HDD RAID-10 SATA (rpm7200): 8 TB
- CPU: 28 core x 2.2 GHz
Вопрос возник следующий - как распределять виртуальные машины между RAID-SSD и RAID-SATA:
- SIEM: MPX Core+Agent и MPX SIEM+Storage
- MP8
- MP AF
Если только для SIEM возможный EPS составит порядка 2000-3000?
ИБ
Как раскидать продукты (и их части), чтобы минимизировать проблемы с медленными дисками (7200) при порядочной нагрузке.
NA
Для тех, что еще не сталкивался с формированием CSV и их заталкиванием в MP SIEM. Вот выдернутый кусочек кода на питоне.
NA
headers = ['_last_changed', 'this_is_string', 'this_is_int'<etc>]
converted_file = open(converted_file_path, 'w+', encoding='utf-8', newline='')
csv_writer = csv.DictWriter(converted_file, fieldnames=headers, delimiter=';',quoting=csv.QUOTE_NONNUMERIC)
csv_writer.writeheader()
for line in raw_file:
ioc = json.loads(line)
mp_line = [
datetime.now().strftime("%d.%m.%Y %H:%M:%S"), # DateTime
ioc['ip']['str'], # String
int(ioc['ip']['num']) if ioc['ip']['num'] else 'null' #Integer
]
mp_csv_dict = dict(zip(headers, mp_line))
csv_writer.writerow(mp_csv_dict)
converted_file.close()
converted_file = open(converted_file_path, 'w+', encoding='utf-8', newline='')
csv_writer = csv.DictWriter(converted_file, fieldnames=headers, delimiter=';',quoting=csv.QUOTE_NONNUMERIC)
csv_writer.writeheader()
for line in raw_file:
ioc = json.loads(line)
mp_line = [
datetime.now().strftime("%d.%m.%Y %H:%M:%S"), # DateTime
ioc['ip']['str'], # String
int(ioc['ip']['num']) if ioc['ip']['num'] else 'null' #Integer
]
mp_csv_dict = dict(zip(headers, mp_line))
csv_writer.writerow(mp_csv_dict)
converted_file.close()
NA
Если есть Nulable число, надо вставлять "null", пустая строка обрабатывается корректно через ""
NA
Не рекомендую пытаться собрать CSV без csv.DictWriter ... убили день чтобы понять где проблема
m
__last_changed точно нужен?
Z
max
__last_changed точно нужен?
да. без него же не импортится
m
Почему не импортится?
m
Ну и про проблемы без csv.* тоже интересно
Z
max
Почему не импортится?
хм через интерфейс сиема?
Z
не через базу знаний
m
Я проверю, ок
NA
max
Ну и про проблемы без csv.* тоже интересно
Пока можно это списать на мои кривые руки, и расценивать просто как инфлрмацию к размышлению. Я не готов был потратить еще 4 часа исследование