ммм, видимо так оно и есть, обычно создается 4 инцедента, а тут создался один, остальные 3 нашел в event'ах позже

Да, вы же смотрите системное правило. За кодом в них стараются следить.

ну да, просто уже не знал куда копать... а оказалось что копать и не нужно было🤷🏿‍♂️

получается что это не как не поправить? если коррелятор отработает раньше чем обогащение, то будут ложные срабатываения так или иначе?

Кейс не очень понятен, но костыли всегда допустимы - проставляйте в обогащении тег "инцидент"/"не инцидент" и ловите его корреляцией.

то есть без табличного списка, а просто помечая сами события?

Прочитал ваш изначальный запрос (сам кейс с точки зрения ИБ так и не стал понятен) ).
Есть подозрение, что при старте ОС пачка событий отправляется в СИЕМ в одно время (это можно проверить по recv_time), поэтому и не успевает выполниться запись в ТС до проверки этого ТС корреляцией.
Можно попробовать такую конструкцию в корреляции (без использования ТС):
((Mistyped_system_process or Process_with_wrong_data) and not System_start) timer 1m

В ближайшем будущем (в этом году) не планируется новый ПАК по Linux?

планируется

Кейс заказчика был в том, что запуск этих процессов после перезагрузки - норма, и инцидентом не является, попросили привязать корелляцию к событию eventID 12 винды (событие о запуске)

Намекните Заказчику, что это не очень норма ;)

А че ты;) никогда же малварь так не называли

Лолище

Особенно svchost.exe

Не было такого ниразу

В R22 из ПТКБ убрали фильтр по регулярке? О_о

Коллеги, привет!
Развернул 22 версию СИЕМа и не могу открыть ПТ КБ. Команда corecfg set -p PtkbFeatureEnabled true PtkbFeatureHost 192.168.102.118 - не срабатывает. Оказывается пропал такой ключ. Как быть? Что изменилось в этой версии по отношению к ПТ КБ?

нет, не убрали. фильтр "текст правила"

огненное решение - захардкодить значения, а не использовать справочник + расстояние Левенштейна

Спасибо!
Всё на месте, интерфейс пока непривычный, но, КМК, изменения UI в лучшую сторону.