AR
к сожалению там не хватает информации о том, на каком сенсоре зафиксировано событие, на которое взвелся инцидент
Size: a a a
2020 February 03
Z
syslog с hw1000 тот еще ад
Z
зачем оно такое...непонятно
AR
ddb
А что есть в событиях полезного? Можно подключить сислог без тиас?
ну да, ViPNet IDS умеет тоже сислог слать
Z
ну да, ViPNet IDS умеет тоже сислог слать
нормально шлет) работать можно
AR
с hw логи не изучал
Z
а вот hw это какой то ппц
d
TIAS по сути шлет информацию о скоррелированных инцидентах и об изменении их статуса
Я про координатор. С них мы только иплир тянем вручную
٧
Привет. В чем может быть проблема, если в SDK_GUI примитивный JSON нормализуется, а через CLI - нет? Версия 21.1
m
Привет. В чем может быть проблема, если в SDK_GUI примитивный JSON нормализуется, а через CLI - нет? Версия 21.1
GUI SDK 2.0+ ?
٧
2.0.0 build 206
MM
Привет. В чем может быть проблема, если в SDK_GUI примитивный JSON нормализуется, а через CLI - нет? Версия 21.1
Под капотом GUI работают cli утилиты из ptsiem-sdk. Нужно больше подробностей ваших действий: как проверяете в GUI и как проверяете на cli-утилитах напрямую. Смею предположить, что в GUI проверяете 1 формулу в редакторе, а для запуска cli утилиты используете граф, собранный из всех формул. Если так, то большая вероятность, что у вас несколько конфликтных формул.
2020 February 04
d
Подскажите как написать условие в правило, если нужные события идут очень часто, а инцидент нужен один и чтобы он регался при первом событии. И в идеале чтобы все события после первого также ппривязывались к этому инциденту
d
Вроде получилось сделать через доп табличной список
d
Подскажите ещё плз как настроить регистронезависимый match в правиле корреляции. На эластике настроили, в фильтре событий работает, а в правилах - нет
m
ddb
Подскажите ещё плз как настроить регистронезависимый match в правиле корреляции. На эластике настроили, в фильтре событий работает, а в правилах - нет
lower() перед сравнениями?
d
Ловер делаю, а возможно можно как-то общесистемно сделать?
IK
ddb
Подскажите как написать условие в правило, если нужные события идут очень часто, а инцидент нужен один и чтобы он регался при первом событии. И в идеале чтобы все события после первого также ппривязывались к этому инциденту
В <= 21.1 лучший способ - через табличный список. Пример: системное правило обогащения Incidents_muting. Но подклеивать последующие алерты к уже созданному инциденту так не получится. В 22 дополнительно ожидается новый механизм, позволяющий реализовать подклейку. Настраивается из правил. Пример $incident.aggregation.key = join([$correlation_name, $event_src.host, $subject.id], “|”) Склеятся в один инцидент, соответственно, все алерты с одинаковым ключом за определенное время.
Справедливости ради, в <=21.1 подобный механизм тоже есть, но он жестко захардкожен по полям и срабатывает только на практически идентичных алертах.
Справедливости ради, в <=21.1 подобный механизм тоже есть, но он жестко захардкожен по полям и срабатывает только на практически идентичных алертах.
d
Ilya Kosynkin
В <= 21.1 лучший способ - через табличный список. Пример: системное правило обогащения Incidents_muting. Но подклеивать последующие алерты к уже созданному инциденту так не получится. В 22 дополнительно ожидается новый механизм, позволяющий реализовать подклейку. Настраивается из правил. Пример $incident.aggregation.key = join([$correlation_name, $event_src.host, $subject.id], “|”) Склеятся в один инцидент, соответственно, все алерты с одинаковым ключом за определенное время.
Справедливости ради, в <=21.1 подобный механизм тоже есть, но он жестко захардкожен по полям и срабатывает только на практически идентичных алертах.
Справедливости ради, в <=21.1 подобный механизм тоже есть, но он жестко захардкожен по полям и срабатывает только на практически идентичных алертах.
Спасибо, через табличный список сделал
v
Коллеги, подскажите, никто не сталкивался с задачей пропустить через MP siem логи, собранные в splunk?