рюшечки будут появляться постепенно )

Всем привет. Вопрос по авто-отключению правил корреляции v21.1:
- есть дефолтное правило корреляции Subrule_Windows_One_file_deletion, которое срабатывает при наступлении 2-х событий за 1 секунду - доступ к файлу на удаление и удаление файла
- есть правило корреляции - Windows_Mass_deleting_files, которое срабатывает от регистрации 10 правил Subrule_Windows_One_file_deletion в течении 1 минуты

На одной машине чистили папку и удалили 1500 файлов в ней. правило корреляции Subrule_Windows_ благополучно отключилось из-за чрезмерного срабатывания. Так и должно быть?

Включите его в список исключений, ну или проигнорируйте, если история разовая

ок, про список исключений где почитать?

В документации точно описано. ptsiem.conf. В корреляторе или healthmon, не помню уже

Спс

Думаю, что если считать по количеству инфраструктур, в которых есть MP SIEM, то >10%. Наверное, даже ~20%.
А если учитывать их размеры и считать % от общего количества доменных узлов, то ~5% (т к во многих крупных энтерпрайз инфрах полный бардак).

Спасибо

Кем ты работаешь, если у тебя такая аналитика?))

Диванным аналитегом. )

Вот если бы был ведущим диванным аналитиком... я бы в эти цифры поверил )))))

но, все равно, выглядит правдоподобно

20% инфраструктур с LAPS? правдоподобно? orly?..

Couch Research and Analytics! :)))

С  ̶L̶i̶n̶k̶e̶d̶i̶n̶-̶а̶  языка снял )

блин, тоже про это написать хотел )))

CoAch

Добрый вечер!
Вы же завели тикет на эту доработку?

Мы завели :)

Отлично )
+ в карму за ответственный подход!