это один тикет)

из 4х

))))

Номер тикета

Тебе оттуда всё нужно? Нельзя регуляркой часть порезать?

Добрый день. Подскажите, пожалуйста как можно в правиле корреляции сделать фильтр, что src_ip входит в любую из подсетей, внесённых отдельными записями в табличный список?

in_subnet

Нет, когда список подсетей хранится в табличной списке

Я как раз про это

Так тоже можно уже пару релизов

В devguide должно быть

Спасибо, не заметил

фильтр не умеет lower?

?

Угу. В запросах к табличкам можно использовать две функции, применяемые к записям в таблице:
in_subnet
regex_match (R22+)

>>regex_match (R22+)
Ничёси!

Коллеги, доброго дня самоизоляции!
Такой вопрос - как написать фильтр для инцидентов, чтобы отсортировать те, в которых добавлялись задачи и назначались ответственные

по стандартным фильтрам не понятно, как именно изменяли инцидент в рамках одного статуса (если фильтр уведомления стоит на "утвержденные", отбивки будут приходить по любому изменению инцидента со статусом "утвержденный", и будет непонятно, что именно изменили)

обращайтесь

Коллеги, помогите понять механизм работы правила корреляции на брутфорс

rule Bruteforce_attempt_atomic: Login_failed[2,100] timer 30s

   init {
       # --- start of settings section
       $incident_threshold = 200  # количество событий в группе, которые необходимо накопить для формирования инцидента

Из этих строк следует, что правило срабатывает, когда события "Login_failed" произойдет от 2 до 100 раз за 30 секунд, и если правило сработает 200 раз, то появится инцидент

инцидент у меня появляется, но событий связанных с инцидентом, почему то менее 200 (где-то вообще 3), где я неправильно рассуждаю?