Size: a a a

2019 December 17

E

EИ0Ʇ in MaxPatrol SIEM
Maxim Gaydukov
Коллеги, требования к дебиану не поменялись? 9.4-9.11?
да
источник
2019 December 18

B

Barmaley in MaxPatrol SIEM
Коллеги все привет!
пишу правило обогащения, пытаюсь заполнить табличный список(для правил обогащения), но у меня ничего не получается.
Вот пример правила:
источник

B

Barmaley in MaxPatrol SIEM
event Test_events:
 filter {
     id == "Test_event"
   }
   
enrichment Test
enrich Test_events:
   insert_into test {
     column::A = "1"
       column::B = "2"
   }
источник

B

Barmaley in MaxPatrol SIEM
подскажите занющие люди, где у меня ошибка?
источник

Z

Zer🦠way in MaxPatrol SIEM
Column::a
источник

Z

Zer🦠way in MaxPatrol SIEM
Тут ошибка
источник

B

Barmaley in MaxPatrol SIEM
и так и так делал, валидацию проходит, результата нет
источник

Z

Zer🦠way in MaxPatrol SIEM
insert_into Incidents {
   rule = correlation_name
   host = lower($host)
   user_id = lower($user_id)
   specific_value = lower($specific_value)
   user_name = subject.name
   user_domain = subject.domain
}
источник

Z

Zer🦠way in MaxPatrol SIEM
вот пример из коробочного правила обогащения
источник

B

Barmaley in MaxPatrol SIEM
без указания  column::? а как же инструкция?
источник

B

Barmaley in MaxPatrol SIEM
Positive Technologies
MaxPatrol SIEM
Версия 21.0

Руководство разработчика
страница 116
insert_into Tabular_List_EnrichmentRule {
column::IP = dst.ip
column::Port = dst.port
column::Status = status
}
источник

Z

Zer🦠way in MaxPatrol SIEM
🤣да хз
источник

Z

Zer🦠way in MaxPatrol SIEM
Barmaley
без указания  column::? а как же инструкция?
посмотрите примеры
источник

Z

Zer🦠way in MaxPatrol SIEM
источник

B

Barmaley in MaxPatrol SIEM
Zer🦠way
insert_into Incidents {
   rule = correlation_name
   host = lower($host)
   user_id = lower($user_id)
   specific_value = lower($specific_value)
   user_name = subject.name
   user_domain = subject.domain
}
нет результата...
источник

Z

Zer🦠way in MaxPatrol SIEM
Что то вы делаете не так....
источник

Z

Zer🦠way in MaxPatrol SIEM
Вы добавляете обогащением в табличный список чтобы потом использовать его в другом обогащении?
источник

B

Barmaley in MaxPatrol SIEM
Zer🦠way
Вы добавляете обогащением в табличный список чтобы потом использовать его в другом обогащении?
да
источник

Z

Zer🦠way in MaxPatrol SIEM
;) вы страшный человек
источник

Z

Zer🦠way in MaxPatrol SIEM
Сейчас дойду до рабочего места и проверю у себя
источник