v
Size: a a a
2020 April 06
6
В правиле корреляции значит не ставится для корелированного события id актива
m
fа к исходным событиям-то првиязаны активы?
v
Вот так и сделать
так - это про фильтры?
6
так - это про фильтры?
Да
v
v
вроде и события есть, и то что источник - каспер
6
вроде и события есть, и то что источник - каспер
у event_(src|dst) есть также asset
6
там id актива пашется для привязки
v
получается, для привязки инцидента к активу и к группе, мне нужно актив присвоить полю event_src.asset?
v
а во всех правилах каспера по дефолту этого нет, выходит?
m
они сами будут ресолвится, елси актив етсь и есть возможность првиязать. ну и скопировать тоже можно
v
хотя странно, привязок нет ни в каких инцидентах..
6
max
они сами будут ресолвится, елси актив етсь и есть возможность првиязать. ну и скопировать тоже можно
У него по корреляции присловоились, это отработало
v
не только в касперском
IY
События в Касперском приходят от рабочих станций, они у вас есть в управляемых активах?
v
нет, самих хостов нет, есть контроллеры домена
IY
нет, самих хостов нет, есть контроллеры домена
Ну вот и ответ, к чему привязывать?
v
напрямую с хос тов не собираются данные, поэтому их не добавляли в систему
v
Ну вот и ответ, к чему привязывать?
я думал что если события берутся из БД каспера, то оттуда и инциденты