В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MaxPatrol SIEM

979 membersпожаловаться на группу
2020 April 16

Д

Дмитрий in MaxPatrol SIEM
Коллеги, если есть мастера по PDQL, подскажите, существует ли возможность, запросом проверить наличие списка у актива? Например, существует ли (не пуст) список Host.Softs. Попытка фильтрации по условию хоть Host.Softs = Null, хоть Host.Softs != Null даёт одинаково пустой результат ((
источник
15:54пожаловаться#1

Д

Дмитрий in MaxPatrol SIEM
Дмитрий
Коллеги, если есть мастера по PDQL, подскажите, существует ли возможность, запросом проверить наличие списка у актива? Например, существует ли (не пуст) список Host.Softs. Попытка фильтрации по условию хоть Host.Softs = Null, хоть Host.Softs != Null даёт одинаково пустой результат ((
Функция Count так же не работает при использовании со списком Count(Host.Softs)
источник
15:55пожаловаться#2

RS

Roman Sergeev in MaxPatrol SIEM
Maxim Gaydukov
А для какой версии openvpn писали нормализацию? У меня сырые события другие
2.4.x
источник
16:15пожаловаться#3

D

Dips in MaxPatrol SIEM
Дмитрий
Коллеги, если есть мастера по PDQL, подскажите, существует ли возможность, запросом проверить наличие списка у актива? Например, существует ли (не пуст) список Host.Softs. Попытка фильтрации по условию хоть Host.Softs = Null, хоть Host.Softs != Null даёт одинаково пустой результат ((
а что на выходе вы хотите получить?
Список хостов с софтами :
filter(host.softs) | select(@Host, Host.OsName)
хосты без софтов
filter(not host.softs) | select(@Host, Host.OsName)
источник
17:03пожаловаться#4

D

Dips in MaxPatrol SIEM
такой запрос посчитает количество софтов на активах
select(@Host, host.Softs) | group(COUNT(host.Softs))
источник
17:06пожаловаться#5

v

virars in MaxPatrol SIEM
cinortoce
При получении события старта ОС - записывать в ТС время старта.
В корреляции при событии 2 или 3 смотреть время старта ОС в ТС и сравнивать со временем события 2/3
Так пойдет?
до этого я написал правило обогащения, с занесением в ТС хостов, на которых произошел запуск ОС (событие о запуске в журналах винды)
после срабатывания корреляции проверка на список mute и на мой новый список
источник
17:27пожаловаться#6

v

virars in MaxPatrol SIEM
время жизни записей в таблице - хх минут, получается пока в таблице хост, то инцидент не возникнет, верно я мыслю?
источник
17:28пожаловаться#7

Д

Дмитрий in MaxPatrol SIEM
Dips
а что на выходе вы хотите получить?
Список хостов с софтами :
filter(host.softs) | select(@Host, Host.OsName)
хосты без софтов
filter(not host.softs) | select(@Host, Host.OsName)
Я хочу получить список активов с windows на борту, но без установленного антивируса. Первое несложно, но часть активов имеют, например, только ip и fqdn и больше никакой информации, но гарантированно попадают а список хостов без АВ. Хосты, где список ПО недоступен, отфильтрую отдельно, пытаюсь получить список хостов с известным ПО, но среди которого нет АВ. Как-то так... )
источник
17:29пожаловаться#8

Д

Дмитрий in MaxPatrol SIEM
Dips
а что на выходе вы хотите получить?
Список хостов с софтами :
filter(host.softs) | select(@Host, Host.OsName)
хосты без софтов
filter(not host.softs) | select(@Host, Host.OsName)
Спасибо, очень помогли. Результат такой:
windowshost.softs and not (windowshost.softs.name = 'av_name')
источник
17:37пожаловаться#9

e

e6e6e in MaxPatrol SIEM
Roman Sergeev
С Windows Server 2019 эвентлог кто-нибудь собирал уже нашим агентом?
Проблему я вижу в вопросе твоём...
источник
17:39пожаловаться#10

e

e6e6e in MaxPatrol SIEM
Там что-то с форматом логов или транспортом?
ЗЫ
2019 ещё не доводилось смотреть.
источник
17:40пожаловаться#11

v

virars in MaxPatrol SIEM
Коллеги, правильный ли синтаксис в правиле обогащения?
Событие появилось в системе, а ТС не обогатился
источник
17:50пожаловаться#12

v

virars in MaxPatrol SIEM
virars
Коллеги, правильный ли синтаксис в правиле обогащения?
Событие появилось в системе, а ТС не обогатился
Событие нормализованное я имею ввиду, с которого обогащение в ТС
источник
17:51пожаловаться#13

m

max in MaxPatrol SIEM
в datafield1 что-то было? в enricher.log тишина? Само правило  и ТС точно установлено?
источник
17:52пожаловаться#14

RS

Roman Sergeev in MaxPatrol SIEM
virars
время жизни записей в таблице - хх минут, получается пока в таблице хост, то инцидент не возникнет, верно я мыслю?
Примерно так, да
источник
17:53пожаловаться#15

v

virars in MaxPatrol SIEM
max
в datafield1 что-то было? в enricher.log тишина? Само правило  и ТС точно установлено?
да, установлено точно, в datafield1 - время
источник
17:54пожаловаться#16

v

virars in MaxPatrol SIEM
ТС установлен, до этого забыл установить, тогда правила обогащения не устанавливалось
источник
17:56пожаловаться#17

RS

Roman Sergeev in MaxPatrol SIEM
virars
да, установлено точно, в datafield1 - время
Ну вот самый первый способ дебага обогащений. Пропишите в datafield10 в этом обогащении  "Vasya was here" и посмотрите, отрабатывает ли правило вообще
источник
17:56пожаловаться#18

v

virars in MaxPatrol SIEM
обогатить нормализованное событие?
источник
17:56пожаловаться#19

e

e6e6e in MaxPatrol SIEM
virars
ТС установлен, до этого забыл установить, тогда правила обогащения не устанавливалось
Поле ТС start_time типа string?
источник
17:58пожаловаться#20