К
Это ортогонально
Size: a a a
2020 March 25
RS
И вообще кто нибудь разрабатывал контент в какой нибудь среде с версионностью и привязывал это все к базе знаний сиема?
Мы) Гитлаб
Z
Разработка правил это как анекдот про наркомана который прятал нычку и проверял найдут ли её полицаи. 😀написал - байпаснул - пофиксил - байпаснул - доделал - зашёл в твиттер, о новый способ
Z
Мы) Гитлаб
Как переносите?
RS
По поводу образа для развёртывания и обновления. Пока это не вверху списка приоритетов
🎅L
По поводу образа для развёртывания и обновления. Пока это не вверху списка приоритетов
Главное что мыслите так ))
RS
Разработка правил это как анекдот про наркомана который прятал нычку и проверял найдут ли её полицаи. 😀написал - байпаснул - пофиксил - байпаснул - доделал - зашёл в твиттер, о новый способ
И это ты ещё на паки не переходил…
Z
И это ты ещё на паки не переходил…
Я на них смотрю иногда
2020 March 26
MG
Коллеги, добрый день. А настраивается ли ротация журналов ядра, а не сторонних компонентов (logrotatecfg)? Если да - то где? Что-то не нашел этого
🅳
Коллеги, а у всех на версии сием <22 отвалился импорт инфы об активах из мп8, после обновления мп8 в начале февраля ?
m
🅳Ⓐ🅽
Коллеги, а у всех на версии сием <22 отвалился импорт инфы об активах из мп8, после обновления мп8 в начале февраля ?
тикет в ТП есть с примером проблемного скана?
AS
Коллеги, добрый день. А настраивается ли ротация журналов ядра, а не сторонних компонентов (logrotatecfg)? Если да - то где? Что-то не нашел этого
Добрый день.
Ротации журналов Core можно настроить в файлах log4net. Каждый такой файл лежит в соответствующей папке сервиса, например:
C:\Program Files\Positive Technologies\MaxPatrol SIEM Core\Analytics.Reports\log4net.config
После редактирования файла изменения должны примениться автоматически без перезапуска сервиса.
Ротации журналов Core можно настроить в файлах log4net. Каждый такой файл лежит в соответствующей папке сервиса, например:
C:\Program Files\Positive Technologies\MaxPatrol SIEM Core\Analytics.Reports\log4net.config
После редактирования файла изменения должны примениться автоматически без перезапуска сервиса.
🅳
Да, там отвечают , что только обновление на 22 версию поможет. Хотя там просто одно лишнее поле с таймзоной появилось (
MG
Добрый день.
Ротации журналов Core можно настроить в файлах log4net. Каждый такой файл лежит в соответствующей папке сервиса, например:
C:\Program Files\Positive Technologies\MaxPatrol SIEM Core\Analytics.Reports\log4net.config
После редактирования файла изменения должны примениться автоматически без перезапуска сервиса.
Ротации журналов Core можно настроить в файлах log4net. Каждый такой файл лежит в соответствующей папке сервиса, например:
C:\Program Files\Positive Technologies\MaxPatrol SIEM Core\Analytics.Reports\log4net.config
После редактирования файла изменения должны примениться автоматически без перезапуска сервиса.
Благодарю 👍
AP
@vbengin у них карантин закончился! 😊
AR
всем привет. В модуле wineventlog есть возможность указания запроса через XPath. Я правильно понимаю, что там можно указывать только select, но нельзя указывать suppress?
AR
например, у меня есть рабочий запрос:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*</Select>
<Suppress Path="Security">*[System[(EventID=5145)] and EventData[Data[@Name='ShareLocalPath'] and (Data='\??\C:\DFSRoots\files')]]</Suppress>
</Query>
</QueryList>
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*</Select>
<Suppress Path="Security">*[System[(EventID=5145)] and EventData[Data[@Name='ShareLocalPath'] and (Data='\??\C:\DFSRoots\files')]]</Suppress>
</Query>
</QueryList>
AR
но походу в таком виде в модуль mp siem его не вогнать?
RS
Мы не делаем ничего нестандартного. В виндовом event viewer фильтр этот работает? Если да, а у нас нет, то заводите тикет
AR
Судя по примерам в гайде и тестам профиль принимает содержимое блока Select