NA
SIEM в SOC с системой мониторинга и скриптами
Size: a a a
2020 January 21
Z
😭
m
Это будущий стартап?)
NA
Текущая работа ))))
MT
добрый день
есть правило корреляции, которое генерирует инцидент.
приходит одно событие, правило отрабатывает, но генериуется два одинаковых инцидента вместо одного.
не подскажите, какие могут быть причины?
через correlator-cli генерится одно, как и положено. а в вебе происходит дубль.
есть правило корреляции, которое генерирует инцидент.
приходит одно событие, правило отрабатывает, но генериуется два одинаковых инцидента вместо одного.
не подскажите, какие могут быть причины?
через correlator-cli генерится одно, как и положено. а в вебе происходит дубль.
RS
А сколько скоррелированных событий?
К
уточнение - не SIEM, а MP X
Z
добрый день
есть правило корреляции, которое генерирует инцидент.
приходит одно событие, правило отрабатывает, но генериуется два одинаковых инцидента вместо одного.
не подскажите, какие могут быть причины?
через correlator-cli генерится одно, как и положено. а в вебе происходит дубль.
есть правило корреляции, которое генерирует инцидент.
приходит одно событие, правило отрабатывает, но генериуется два одинаковых инцидента вместо одного.
не подскажите, какие могут быть причины?
через correlator-cli генерится одно, как и положено. а в вебе происходит дубль.
условие correlation_name == null есть?
MT
условие correlation_name == null есть?
нет.
добавить?
добавить?
Z
нет.
добавить?
добавить?
да, может оно само на себя тригерит)
MT
да, может оно само на себя тригерит)
тоже подумал про это, но почему он тогда делает ровно один раз, а не бесконечно?)
Z
хз, пути мп сиема неисповедимы
Z
ну и да, сравните сырые события на которые отработали 2 правила
Z
кто его знает...у меня вот с антиспама шло 2 одинаковых события)
MT
А сколько скоррелированных событий?
router-cli коррелирует один инцидент на одно событие. так как и должно
или вопрос в другом?
или вопрос в другом?
RS
Вопрос в том, сколько алертов стало причиной появления 2 инцидентов. 1 или 2?
MT
один
m
да, может оно само на себя тригерит)
тогда зациклилось бы
v
Коллеги, блиц вопрос - а есть ли в сиеме правила нормализации для логов KSC, которые передаются по syslog?
Заказчик решил воспользоваться данной оснасткой в KSC, а не подключать базу, я поискал в правилах на стенде, увидел в системных правилах KSC только папку ODBC
Заказчик решил воспользоваться данной оснасткой в KSC, а не подключать базу, я поискал в правилах на стенде, увидел в системных правилах KSC только папку ODBC
E
Коллеги, блиц вопрос - а есть ли в сиеме правила нормализации для логов KSC, которые передаются по syslog?
Заказчик решил воспользоваться данной оснасткой в KSC, а не подключать базу, я поискал в правилах на стенде, увидел в системных правилах KSC только папку ODBC
Заказчик решил воспользоваться данной оснасткой в KSC, а не подключать базу, я поискал в правилах на стенде, увидел в системных правилах KSC только папку ODBC
у тебя ж стенд есть