m
Для hostname есть src.hostname
Size: a a a
2020 April 04
v
max
А зачем так делать? Ну и а R22 ее тип - IPAddress
не сыпьте соль на рану с R22 пока переход не предвидется
v
max
Для hostname есть src.hostname
ммм, в логах поступают события либо с ip либо с 0.0.0.0\0
m
Ну в данном случае можно и на r21 делать правильно)
v
v
писал вот так
v
получается в первом случае просто взять переменную src.host?
m
m
IY
IY
logging origin-id <ip|hostname>
IY
Когда настроено logging origin-id hostname, а по факту hostname у устройства не задан, приходят нули
MM
Писать в src.ip что-то отличное от ip это плохая практика, лучше так не делать.
И на всякий случай, писать в *.host не нужно, оно перезатрется! Пишем в *.hostname
И на всякий случай, писать в *.host не нужно, оно перезатрется! Пишем в *.hostname
v
Когда приходит 0.0.0.0 — это очень похоже на неправильно настроенный параметр cisco
Это логи с netscaler
v
Писать в src.ip что-то отличное от ip это плохая практика, лучше так не делать.
И на всякий случай, писать в *.host не нужно, оно перезатрется! Пишем в *.hostname
И на всякий случай, писать в *.host не нужно, оно перезатрется! Пишем в *.hostname
Спасибо!
2020 April 06
N
https://www.ptsecurity.com/ru-ru/about/news/maxpatrol-siem-vyyavlyaet-ataki-na-subd-microsoft-sql-server/ - отгрузили в PT KB 16-й пакет экспертизы
v
коллеги, вопрос
можно ли зафиксировать колонки в событиях/инцидентах для активов и инцидентов, а не сохранять наборы фильтров в пользовательских?
можно ли зафиксировать колонки в событиях/инцидентах для активов и инцидентов, а не сохранять наборы фильтров в пользовательских?
v
и как правильно и где настроить автопривязку инйцедентов в ту или иную группу активов? (например если инцедент по касперскому - он будет в группе "касперский")
6
коллеги, вопрос
можно ли зафиксировать колонки в событиях/инцидентах для активов и инцидентов, а не сохранять наборы фильтров в пользовательских?
можно ли зафиксировать колонки в событиях/инцидентах для активов и инцидентов, а не сохранять наборы фильтров в пользовательских?
Вот так и сделать
6
и как правильно и где настроить автопривязку инйцедентов в ту или иную группу активов? (например если инцедент по касперскому - он будет в группе "касперский")
Если инцидент связан с активом, то он в группу активов и попадет