В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MaxPatrol SIEM

979 membersпожаловаться на группу
2019 January 27

RS

Roman Sergeev in MaxPatrol SIEM
За год планируем полноту покрытия сильно улучшить. Там к самой категоризации порой есть вопросы. Не всегда предлагаемая ими категория детекта/техники совпадает с нашей интерпретацией.
Но радует, что это становится кому-то интересно :)
источник
14:09пожаловаться#1

IS

I S in MaxPatrol SIEM
Коллеги, вопрос по корреляции, есть необходимость поиска в поле события подстроки, можно ли это реализовать через запрос к списку или только в самом правиле корреляции использовать, например, match?
источник
14:18пожаловаться#2

A

Alexey in MaxPatrol SIEM
Просто, наглядная демонстрация того, что мы реализуем детектирование атак именно исходя из некой методики, а не хаотично, повысило бы ценность внедрения в глазах пользователя и помогло в описании конечного решения
источник
14:18пожаловаться#3

RS

Roman Sergeev in MaxPatrol SIEM
Все правильно
источник
14:19пожаловаться#4

RS

Roman Sergeev in MaxPatrol SIEM
I S
Коллеги, вопрос по корреляции, есть необходимость поиска в поле события подстроки, можно ли это реализовать через запрос к списку или только в самом правиле корреляции использовать, например, match?
Вы хотите регулярки брать из списка?
источник
14:20пожаловаться#5

IS

I S in MaxPatrol SIEM
Как пример искать в логах прокси обращение к облачным хранилках(Яндекс диск, Гугл драйв и т.п.) т.к. в поле указывается полный url, нужно искать в этом поле подстроку. Через указание match в правиле корреляции работает, но это не очень удобно для редактирования, поэтому хотелось бы сделать список
источник
14:25пожаловаться#6

RS

Roman Sergeev in MaxPatrol SIEM
Мы хотели бы ограничиться wildcards для начала. Этого вам было бы достаточно?
источник
14:28пожаловаться#7

IS

I S in MaxPatrol SIEM
Эм, не понял, вы про доработку или о чем речь?
источник
14:35пожаловаться#8

RS

Roman Sergeev in MaxPatrol SIEM
Про доработку. Wildcards вычислительно дешевле
источник
14:49пожаловаться#9

IS

I S in MaxPatrol SIEM
Пусть будет wildcards
Нужно тикет создать или обращения тут достаточно? И какой примерный срок реализации доработки?
источник
14:58пожаловаться#10

Z

Zer🦠way in MaxPatrol SIEM
ребята, добрый день. вопрос такой. при экспорте событий из сиема в csv - время указывается utc. можно ли указать часовой пояс?
источник
14:58пожаловаться#11

RS

Roman Sergeev in MaxPatrol SIEM
Тикет не нужен
источник
15:02пожаловаться#12

IS

I S in MaxPatrol SIEM
Roman Sergeev
Тикет не нужен
А время реализации? Хотя бы примерно, чтобы можно было обозначить
источник
15:02пожаловаться#13

e

e6e6e in MaxPatrol SIEM
Zer🦠way
ребята, добрый день. вопрос такой. при экспорте событий из сиема в csv - время указывается utc. можно ли указать часовой пояс?
Привет!
Часовой пояс чего нужно указать?
1. Время в БД записывается в utc, но с учетом корректировок, которые выставлены в задаче сбора (часовой пояс и дельта).
2. В UI время события (все 3 времени - time, original_time, recv_time) отображаются с учетом часового пояса, выставленного в окружении ОС клиента.
Скорее всего, тебе хочется увидеть в csv часовой пояс из п.2.
источник
15:40пожаловаться#14

Z

Zer🦠way in MaxPatrol SIEM
e6e6e
Привет!
Часовой пояс чего нужно указать?
1. Время в БД записывается в utc, но с учетом корректировок, которые выставлены в задаче сбора (часовой пояс и дельта).
2. В UI время события (все 3 времени - time, original_time, recv_time) отображаются с учетом часового пояса, выставленного в окружении ОС клиента.
Скорее всего, тебе хочется увидеть в csv часовой пояс из п.2.
да;) в вебе мой часовой пояс, в csv utc
источник
15:52пожаловаться#15

e

e6e6e in MaxPatrol SIEM
А нафига? )
КМК, при расследовании всегда все события приводят к utc.
источник
15:54пожаловаться#16

Z

Zer🦠way in MaxPatrol SIEM
не а моем зоопарке
источник
15:57пожаловаться#17

Z

Zer🦠way in MaxPatrol SIEM
😂
источник
15:57пожаловаться#18

Z

Zer🦠way in MaxPatrol SIEM
если нельзя , то болт с ним
источник
15:58пожаловаться#19

e

e6e6e in MaxPatrol SIEM
Zer🦠way
если нельзя , то болт с ним
На сколько я знаю, в СИЕМ-е сейчас нет такой опции. Проще сделать замену в самом csv, например через Excel (может и для sublime/notepad++ есть подходящий плагин), или скриптами.
источник
16:15пожаловаться#20