ну короче всё сломал и ничег не починил ещё🤣

SIEM SDK GUI?

засунуть сырое событие, подставить написаное правило и проверить, парсит или нет

ну если совсем негде - как/на каких событиях практиковаться-то?
можно в notepad, конечно, формулы писать и вручную матчить, но смысл?

Коллеги, у кого 21 версия, на графике ненормализованные события отображаются? У меня на графике их 0, а по факту событий много, если в эластик посмотреть

Коллеги а как решается проблема с одинаковыми айпишниками для обнаруженных активов? Если они в пределах одной площадки даже встречаются. То есть к чему привязка в мп сием все таки происходит, вдруг с течением времени адреса сменятся и будут дубли активов получается?

В MP SIEM актив не равен IP-шнику. Система сопоставляет информацию об активах (IP-адреса, FQDN, hostname, системные характеристики и т.д. в зависимости от типа актива) по развесистому встроенному алгоритму для понимания того, являются ли активы совпадающими или нет. Также для изменения адресов внутри активов и правильной их идентификации используется информация от DHCP

Допустим в сети нет dhcp, или принудительно статика

и одинаковые ip в один момент времени?

:) ну не прям в один момент. Вопрос касался больше того,  к чему именно привязывается актив

Зависит от того, каким образом собираются данные об активах

События (какие именно), импорт, аудит, пентест...

Простейшая в плане общей инвентаризации в сети заказчика,  тип устройства, имя, адреса ip, mac,

Как писали выше эта проблема решается объединением активов по их уникальным ключам.

Если у Вас два ip принадлежат одному хосту, скорее всего такой актив будет склеен в один механизмом идентификации.

Например, по Mac адресу (хотя это не самый уникальный ключ).

Чтобы найти как можно больше уникальный ключей рекомендуется проводить наиболее полное сканирование т.е. в режиме пентест или аудит.

Если и такой возможности нет, возможно ручное управление активами. Заполнять Fqdn и ip. Следить за уникальностью и корректной привязкой.

Как присвоить одному активу вручную несколько ip?

Дратути. И мне прилетел вопрос по интеграции с misp.
Можно чуть подробнее - как именно через zmq оно может работать с МП сием? Кастомный сборщик ивентов из zmq, который будет все равно их укладывать в табличный список? Или что-то хитрее?

если вам нужна только постановка на мониторинг - то всё так

Ну тогда понятно. Спасибо

Zmq просто из-за "реалтаймовости" вытаскивания индикатора сделали, или ещё какие плюшки? Ну относительно, например, костыля в шедулере, который по апи ioc сдергивает каждые n часов и в табличный список сует.

При добавлении актива нельзя указать несколько сетевых интерфейсов? А если интерфейс один и в сети нет статики, значит ip будет всегда меняться.
Альтернативное решение : через импорт и экспорт