В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MaxPatrol SIEM

979 membersпожаловаться на группу
2019 December 18

ИБ

Иван Богучарский... in MaxPatrol SIEM
Всем привет. Подскажите плиз :
- релиз 21.1
- HealtMonitor выдает что правило корреляции было приостановлено из-за частого срабатывания
Как траблшутить - посмотреть подробности - что за правило, счетчики и т.д.
источник
10:00пожаловаться#1

RS

Roman Sergeev in MaxPatrol SIEM
Пойти в список правил и отсортировать по статусу
источник
10:00пожаловаться#2

RS

Roman Sergeev in MaxPatrol SIEM
Число срабатываний там же или через фильтр по correlation_name в Event viewer - можно не только за 24 часа посмотреть
источник
10:01пожаловаться#3

ИБ

Иван Богучарский... in MaxPatrol SIEM
Хмм, в PTKB -> Правила корреляции есть колонки - "Статус валидации" и "Статус установки". При сортировки статуса установки поля делятся на 2 типа - "Установлено" и "Не установлено" (фолзы убирал). Статуса "Остановлено|Приостановлено" - нет.
источник
10:05пожаловаться#4

RS

Roman Sergeev in MaxPatrol SIEM
В siem
источник
10:05пожаловаться#5

ИБ

Иван Богучарский... in MaxPatrol SIEM
А, ок.
источник
10:05пожаловаться#6

RS

Roman Sergeev in MaxPatrol SIEM
Из PTKB информация с рантайма недоступна
источник
10:06пожаловаться#7

RS

Roman Sergeev in MaxPatrol SIEM
Разделение не интуитивно, мы понимаем, но пока вот так
источник
10:07пожаловаться#8

RS

Roman Sergeev in MaxPatrol SIEM
Правило будет в состоянии "пауза"
источник
10:08пожаловаться#9

ИБ

Иван Богучарский... in MaxPatrol SIEM
Нашел. Спасибо. Еще вопрос - почему решили внедрять ТС для серверов TeamViewer, по дефолтному правилу из коробки и ТС не находит порядка 200 с чем-то серверов....
источник
10:11пожаловаться#10

RS

Roman Sergeev in MaxPatrol SIEM
Вероятно его давно не пополняли
источник
10:12пожаловаться#11

ИБ

Иван Богучарский... in MaxPatrol SIEM
По концепту пополняться должно при обновлении, или обогащением?
источник
10:13пожаловаться#12

RS

Roman Sergeev in MaxPatrol SIEM
Обновлением
источник
10:13пожаловаться#13

Z

Zer🦠way in MaxPatrol SIEM
Roman Sergeev
Пойти в список правил и отсортировать по статусу
кстати да, удобно было бы в хелзе выводить
источник
10:13пожаловаться#14

Z

Zer🦠way in MaxPatrol SIEM
я методом догадки искал правило на паузе
источник
10:14пожаловаться#15

Z

Zer🦠way in MaxPatrol SIEM
еще данный функционал может мне ломать мою колонку count в ТС
источник
10:14пожаловаться#16

RS

Roman Sergeev in MaxPatrol SIEM
Zer🦠way
кстати да, удобно было бы в хелзе выводить
Их может быть много сразу (
источник
10:14пожаловаться#17

Z

Zer🦠way in MaxPatrol SIEM
потому что у меня 1 детект - инцидент, все посследующие событие
источник
10:14пожаловаться#18

Z

Zer🦠way in MaxPatrol SIEM
и каждый раз count +1
источник
10:14пожаловаться#19

Z

Zer🦠way in MaxPatrol SIEM
Roman Sergeev
Их может быть много сразу (
это защита от идиота который пишет кривые правила?))
источник
10:15пожаловаться#20