ВМ
Суда по свойству актива с fqdn
Size: a a a
2019 November 06
ВМ
Кстати на привязку к активу правила обогащения оказывают влияние?
IY
тогда надо призвать коллег из позитива, может оно в 18 версии как-то не очень работало
ВМ
Или только нормализация?
IY
Или только нормализация?
судя по схеме, только нормализация
IY
asset resolution перед enrich идет
RS
normalizer->aggregator->resolver->enricher
ВМ
asset resolution перед enrich идет
Это грустно
RS
кстати, кому-то станет плохо от исчезновения оранжевой стрелочки сorrelator->aggregator?
не закладывайтесь на её наличие, в общем
если есть какие-то неразрешимые сценарии, приходите и будем обсуждать
не закладывайтесь на её наличие, в общем
если есть какие-то неразрешимые сценарии, приходите и будем обсуждать
IY
Суда по свойству актива с fqdn
в вашем конкретном случае я бы переписал формулу, наверное:
event_src.fqdn = fqdn
event_src.hostname = hostname
hostname бы получал загоняя fqdn в переменную и откусывая домен
event_src.fqdn = fqdn
event_src.hostname = hostname
hostname бы получал загоняя fqdn в переменную и откусывая домен
К
Добрый вечер, коллеги.
Я с новым аттракционом.
Запилили в соавторстве с @red_lion (всем погромистам погромист!) новую облегчающую жизнь приблуду, снова на коленке из деревьев и костылей, как всегда. Ясное дело версии 0.1 pre-alfa и вот это всё.
Называется PTLogOut. Что умеет:
- Идти по всем лог-файлам ядра MP SIEM (или указанным компонентам) и кролика
- Откусывать у каждого лог-файла указанное количество строк с конца
- Раскладывать полученное в папки или же зиповать сразу архивом для отправки в ТП\коллегам\друзьям\в ад
То есть после запуска этой тулзы логи к отправке готовы, вместо каких-нибудь 50 гигов логов если брать последние 1000 строк каждого файла, то архив получается весом 1 мегабайт - профит. Общаться с техподдержкой еще никогда не было так легко и просто.
Known issues: кролик не хочет делиться некоторыми своими лог-файлами (лочит доступ к ним), поэтому они не попадают в итоговый архив. Потом посмотрю что можно сделать. А пока что нужно будет проверять попалось или нет. Ну или копировать логи в другую папку и натравливать на неё тулзу.
Как использовать - притащить на ядро, запустить, выбрать что и сколько хотим откусывать, жмакнуть одну из двух кнопок на выбор.
На гит почему-то заливать в определенную папку не получается, а в корне решил не мусорить, поэтому выложил на сторожку нашу, надеюсь @i_zer0way не затруднит поправить, а то я уже очень хочу бухать отправиться наконец-то с чистой совестью в отпуск.
Фидбек как обычно приветствуется и всё такое, но обещать допилы в ближайшие две недели не могу))))00)))0)
Ибо мне тоже пора делать LogOut
Я с новым аттракционом.
Запилили в соавторстве с @red_lion (всем погромистам погромист!) новую облегчающую жизнь приблуду, снова на коленке из деревьев и костылей, как всегда. Ясное дело версии 0.1 pre-alfa и вот это всё.
Называется PTLogOut. Что умеет:
- Идти по всем лог-файлам ядра MP SIEM (или указанным компонентам) и кролика
- Откусывать у каждого лог-файла указанное количество строк с конца
- Раскладывать полученное в папки или же зиповать сразу архивом для отправки в ТП\коллегам\друзьям\в ад
То есть после запуска этой тулзы логи к отправке готовы, вместо каких-нибудь 50 гигов логов если брать последние 1000 строк каждого файла, то архив получается весом 1 мегабайт - профит. Общаться с техподдержкой еще никогда не было так легко и просто.
Known issues: кролик не хочет делиться некоторыми своими лог-файлами (лочит доступ к ним), поэтому они не попадают в итоговый архив. Потом посмотрю что можно сделать. А пока что нужно будет проверять попалось или нет. Ну или копировать логи в другую папку и натравливать на неё тулзу.
Как использовать - притащить на ядро, запустить, выбрать что и сколько хотим откусывать, жмакнуть одну из двух кнопок на выбор.
На гит почему-то заливать в определенную папку не получается, а в корне решил не мусорить, поэтому выложил на сторожку нашу, надеюсь @i_zer0way не затруднит поправить, а то я уже очень хочу бухать отправиться наконец-то с чистой совестью в отпуск.
Фидбек как обычно приветствуется и всё такое, но обещать допилы в ближайшие две недели не могу))))00)))0)
Ибо мне тоже пора делать LogOut
Дратути.
Я немношк тут накодил опять, извинити.
Взял свои ранее напиленные ExDataGUI и PTLogTailer и объединил их в один комбайн. Хотел еще пару фич добавить (каркас уже построил), но меня тут накрывает простудой, похоже, поэтому выкладываю что есть.
Собственно, основные вещи - обе утилиты теперь объединены, и у вкладки LogTailer появился новый чекбокс "NOT a PT Logs", что позволяет использовать этот механизм для заграбления любых других локальных логов, без привязки к PT SIEM.
Как обычно всё предоставляется as is, сделано на коленке, early access и прочие отмазывающие слова)
На гитхаб пытался запихать, но файлик больше 25 мегабайт (привет библиотекам QT), поэтому надеюсь, что @i_zer0way поможет с этим делом.
Я немношк тут накодил опять, извинити.
Взял свои ранее напиленные ExDataGUI и PTLogTailer и объединил их в один комбайн. Хотел еще пару фич добавить (каркас уже построил), но меня тут накрывает простудой, похоже, поэтому выкладываю что есть.
Собственно, основные вещи - обе утилиты теперь объединены, и у вкладки LogTailer появился новый чекбокс "NOT a PT Logs", что позволяет использовать этот механизм для заграбления любых других локальных логов, без привязки к PT SIEM.
Как обычно всё предоставляется as is, сделано на коленке, early access и прочие отмазывающие слова)
На гитхаб пытался запихать, но файлик больше 25 мегабайт (привет библиотекам QT), поэтому надеюсь, что @i_zer0way поможет с этим делом.
К
Z
Дратути.
Я немношк тут накодил опять, извинити.
Взял свои ранее напиленные ExDataGUI и PTLogTailer и объединил их в один комбайн. Хотел еще пару фич добавить (каркас уже построил), но меня тут накрывает простудой, похоже, поэтому выкладываю что есть.
Собственно, основные вещи - обе утилиты теперь объединены, и у вкладки LogTailer появился новый чекбокс "NOT a PT Logs", что позволяет использовать этот механизм для заграбления любых других локальных логов, без привязки к PT SIEM.
Как обычно всё предоставляется as is, сделано на коленке, early access и прочие отмазывающие слова)
На гитхаб пытался запихать, но файлик больше 25 мегабайт (привет библиотекам QT), поэтому надеюсь, что @i_zer0way поможет с этим делом.
Я немношк тут накодил опять, извинити.
Взял свои ранее напиленные ExDataGUI и PTLogTailer и объединил их в один комбайн. Хотел еще пару фич добавить (каркас уже построил), но меня тут накрывает простудой, похоже, поэтому выкладываю что есть.
Собственно, основные вещи - обе утилиты теперь объединены, и у вкладки LogTailer появился новый чекбокс "NOT a PT Logs", что позволяет использовать этот механизм для заграбления любых других локальных логов, без привязки к PT SIEM.
Как обычно всё предоставляется as is, сделано на коленке, early access и прочие отмазывающие слова)
На гитхаб пытался запихать, но файлик больше 25 мегабайт (привет библиотекам QT), поэтому надеюсь, что @i_zer0way поможет с этим делом.
Сделаем но попозже
К
Мерси
К
кстати, кому-то станет плохо от исчезновения оранжевой стрелочки сorrelator->aggregator?
не закладывайтесь на её наличие, в общем
если есть какие-то неразрешимые сценарии, приходите и будем обсуждать
не закладывайтесь на её наличие, в общем
если есть какие-то неразрешимые сценарии, приходите и будем обсуждать
Мне не станет - мы в этом месте агрегатор почти не пользуем
К
не забудьте подложить export_data под ноги к тулзе, когда будете выгружать данные
A
А можно еще раз (для потеряшек) ссылку на гит ;)
К
A
спасибо!