В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MaxPatrol SIEM

979 membersпожаловаться на группу
2019 November 18

И

Иван in MaxPatrol SIEM
query 1(<Аргументы запроса>) from <Название табличного списка> {
    <Условие запроса>
}
query 2(<Аргументы запроса>) from <Название табличного списка> {
    <Условие запроса>
}
источник
16:51пожаловаться#1

И

Иван in MaxPatrol SIEM
При валидации мне сообщается об ошибке:
Compilation ended with error: 'Error: Unknown builtin exec_query (used at line 4 col 12)'
источник
16:52пожаловаться#2

И

Иван in MaxPatrol SIEM
Он ругается на 2й query
источник
16:52пожаловаться#3

И

Иван in MaxPatrol SIEM
При валидации корреляционного правила выходит ошибка:
Found undeclared query usage. Сам запрос обозначен в блоке query. В чем причина? Его надо еще раз объявить?
источник
19:10пожаловаться#4

К

Кац in MaxPatrol SIEM
Иван
При валидации корреляционного правила выходит ошибка:
Found undeclared query usage. Сам запрос обозначен в блоке query. В чем причина? Его надо еще раз объявить?
покажите вызовы exec_query
источник
19:11пожаловаться#5

И

Иван in MaxPatrol SIEM
event A:
   key:
       event_src.host
   filter {
      exec_query ( "Zap_p", [$object])!=null
        }
источник
19:12пожаловаться#6

К

Кац in MaxPatrol SIEM
Иван
query 1(<Аргументы запроса>) from <Название табличного списка> {
    <Условие запроса>
}
query 2(<Аргументы запроса>) from <Название табличного списка> {
    <Условие запроса>
}
и эти объявления (можно без внутренностей)
источник
19:12пожаловаться#7

К

Кац in MaxPatrol SIEM
Иван
event A:
   key:
       event_src.host
   filter {
      exec_query ( "Zap_p", [$object])!=null
        }
а второй?
источник
19:12пожаловаться#8

И

Иван in MaxPatrol SIEM
event B:
   key:
       event_src.host
   filter {
           object.name == "NCR"
          }
источник
19:13пожаловаться#9

К

Кац in MaxPatrol SIEM
Иван
event B:
   key:
       event_src.host
   filter {
           object.name == "NCR"
          }
и где здесь exec_query?
источник
19:13пожаловаться#10

И

Иван in MaxPatrol SIEM
Здесь конкретное значение поля события. Зачем мне обращаться к таблице, если нужно сравнивать с конкретным значением события
источник
19:14пожаловаться#11

К

Кац in MaxPatrol SIEM
Иван
Здесь конкретное значение поля события. Зачем мне обращаться к таблице, если нужно сравнивать с конкретным значением события
проблемный код где?
источник
19:15пожаловаться#12

И

Иван in MaxPatrol SIEM
Compilation ended with error: 'Error in script unknown_script: ERROR: FILE:[] RULE:[]
Found undeclared query usage : Zap_p'
источник
19:16пожаловаться#13

К

Кац in MaxPatrol SIEM
Иван
event A:
   key:
       event_src.host
   filter {
      exec_query ( "Zap_p", [$object])!=null
        }
это работать не будет, потому что переменные в фильтре не определены.
источник
19:16пожаловаться#14

К

Кац in MaxPatrol SIEM
Иван
Compilation ended with error: 'Error in script unknown_script: ERROR: FILE:[] RULE:[]
Found undeclared query usage : Zap_p'
определения запросов as is скиньте
источник
19:16пожаловаться#15

К

Кац in MaxPatrol SIEM
с вашим уровнем обфускации вам помочь крайне затруднительно
источник
19:17пожаловаться#16

И

Иван in MaxPatrol SIEM
На всех ресурсах рекомендую обращаться сюда. Куда тогда еще можно написать что бы объяснили?
источник
19:23пожаловаться#17

c

cinortoce in MaxPatrol SIEM
Иван
На всех ресурсах рекомендую обращаться сюда. Куда тогда еще можно написать что бы объяснили?
Можно просто выложить полный текст корреляции
источник
19:25пожаловаться#18

И

Иван in MaxPatrol SIEM
query Zap_u($object) from U {
    object == $object
    }
query Zap_m($object) from M {
    object == $object
    }

event A:
   key:
       event_src.host
   filter {
      exec_query ( "Zap_u", [$object])!=null
        }

event B:
   key:
       event_src.host
   filter {
           object.name == "NCR"
          }


rule Error:(A -> B) within 1m
on A {
   $event_src.host = event_src.host
}
on B {
   $event_src.host = event_src.host
}


emit {
   $correlation_name = "Predskazano_navodnenie"
   $correlation_type = "incident"

   $category.generic = "Information Management"
   $category.high = "Information Leak"
   $category.low = "Critical Information"

   $id = "Predskazano_navodnenie"
   $importance = "high"
источник
19:27пожаловаться#19

К

Кац in MaxPatrol SIEM
object-у не нужна $. != null надо убрать - это условие будет всегда верно
источник
19:30пожаловаться#20