AG
Добрый вечер! К кому можно обратится для запроса пробной версии Вашей великолепной системы?
Size: a a a
2020 February 06
RS
понятно =( а не логичнее считать всё-таки входы, а не события? (события я могу посчитать в ластике)
Не можешь ты это посчитать в эластике. В эластике ты будешь считать в другом времени
A
Добрый вечер! Коллеги, скажите пожалуйста, кнопка "очистить фильтр" в событиях только у нас не работает? Версия SIEM 21.1.3058
MO
Это кнопка не «Очистить фильтр», а «Вернуться к сохраненному фильтру»
A
Спасибо!
NA
Добрый вечер! К кому можно обратится для запроса пробной версии Вашей великолепной системы?
A
Может добавить в утилиту штатную возможность указания индексов по маске а не поштучно?
Рассмотрим такую возможность.
2020 February 07
d
Вопрос про emit/close в блоке rule on. Почему не проходит валидацию пример из мана?
d
d
d
21.1.3058
v
Добрый вечер! К кому можно обратится для запроса пробной версии Вашей великолепной системы?
Письмом на partners@ptsecurity.com
Не забыть Кратко зачем оно. И оставить контакты, помимо почты.
Не забыть Кратко зачем оно. И оставить контакты, помимо почты.
AG
Спасибо
RS
В целом, мы бы крайне рекомендовали как можно реже пользоваться close, заменяя его стандартной функциональностью фильтров
d
А как можно сделать правило, реагирующее на превышение определённой суммы трафика в час по netflow с key=src.ip? Я суммирую в on и потом внутри emit делаю условие что если больше 100мб, то тип incident, а если меньше, то event. Инциденты делаются корректно, но счётчик правила переваливает из-за event-ов и правило приостанавливается.
ММ
ddb
А как можно сделать правило, реагирующее на превышение определённой суммы трафика в час по netflow с key=src.ip? Я суммирую в on и потом внутри emit делаю условие что если больше 100мб, то тип incident, а если меньше, то event. Инциденты делаются корректно, но счётчик правила переваливает из-за event-ов и правило приостанавливается.
Через табличные списки не пробовали?
d
Максим Максимович
Через табличные списки не пробовали?
Пока нет, может без них можно
ММ
Для таких задач, они как раз и придуманы
6
Максим Максимович
Через табличные списки не пробовали?
Нафига, если это в выборке эвентов встроено? ddb узнай у тп где настраивается ограничение по времени работы правила
d
Там есть 2 параметра, но они общие. Очень большой порог надо настраивать. Не хотел бы - полезная штука. Вот если бы емит внутри руле он работал...