e
Блин, нет чатика про Cybsi - как так?
Size: a a a
2020 April 01
v
Потому что мы его официально ещё не релизнули
Z
Чатика по позитивовским чатикам
Z
🤣🤣
m
Привет!
Подскажите, пожалуйста, есть ли способ закинуть в СИЕМ новый табличный список без обновления остального контента? Желательно через PTKB.
Подскажите, пожалуйста, есть ли способ закинуть в СИЕМ новый табличный список без обновления остального контента? Желательно через PTKB.
А тебе точно фид через ptkb надо. Или он у тебя статический и меняется редко?
Логичнее лить туда контент в сам сием через api например.
Логичнее лить туда контент в сам сием через api например.
e
max
А тебе точно фид через ptkb надо. Или он у тебя статический и меняется редко?
Логичнее лить туда контент в сам сием через api например.
Логичнее лить туда контент в сам сием через api например.
Если обновлять только наполнение ТС, то да, логичное предложение.
Но я хотел поменять схему ТС, не затрагивая остальной контент.
Но я хотел поменять схему ТС, не затрагивая остальной контент.
m
Менять схему с сохранением контента нельзя
Экспорт-смена сземы-импорт
Экспорт-смена сземы-импорт
v
Коллеги, как вчера обсуждали, заменил поля с 0.0.0.0/0 на ip адреса источников (в сырых событиях они указаны были как recv_ipv4) и пос4ле перезагрузки задачи - все события пропали (перестали поступать), где-то я ошибся в синтаксисе?
E
m
RS
что-то мне кажется что там нужно указывать с маской
необязательно
более того, как я написал выше, оно по разному обрабатывается
более того, как я написал выше, оно по разному обрабатывается
v
max
а что в логах задачи?
Чуть позже скину, но как только я поставил стандартный профиль - логи пошли
v
Ещё вопрос, по поводу запросов в эластик, как комбинировать запросы? Например по recv_ipv4 и normalized
c
Ещё вопрос, по поводу запросов в эластик, как комбинировать запросы? Например по recv_ipv4 и normalized
q=recv_ipv4:10.10.10.10%20AND%20normalized:true
ML
боюсь, что никак. так с любым обьектом, не только табличкой
ML
более того, если есть правила, или иные обьекты с ошибками, со статусом "установлено неактуальное", то у тебя не выйдет ничего добавить или обновить, пока не поправишь косячные🙃
очень логичное решение (нет)
очень логичное решение (нет)
v
q=recv_ipv4:10.10.10.10%20AND%20normalized:true
Ага, понял, спасибо!
v
max
а что в логах задачи?
v
max
а что в логах задачи?
ИБ
Добрый день. Вопрос по форензике. Заказчики интересуются - есть ли рекомендации и информация о том как реагировать на сработавшие события корреляции?