К
наш UX от нового UI пока не очень... но, возможно, просто не привыкли пока
Size: a a a
2020 April 17
e
огненное решение - захардкодить значения, а не использовать справочник + расстояние Левенштейна
Не спорю, но запрос в этом чате был ещё более странный.
Надеюсь, что в MP SEIM скоро поятся fuzzy search (в ES он уже достаточно давно реализован).
Надеюсь, что в MP SEIM скоро поятся fuzzy search (в ES он уже достаточно давно реализован).
К
Не спорю, но запрос в этом чате был ещё более странный.
Надеюсь, что в MP SEIM скоро поятся fuzzy search (в ES он уже достаточно давно реализован).
Надеюсь, что в MP SEIM скоро поятся fuzzy search (в ES он уже достаточно давно реализован).
запрос просто косой... интегратор крепко сел в лужу. но правила... блин, это не к ластику вообще. это скорее к функционалу табличных списков / DSL коррелятора/обогащатора
e
запрос просто косой... интегратор крепко сел в лужу. но правила... блин, это не к ластику вообще. это скорее к функционалу табличных списков / DSL коррелятора/обогащатора
Если в ES уже реализована функция нечеткого поиска, то почему бы её не использовать? А правило построить на логике:
1. ТС с путями до легитимных системных исполняемых файлов.
2. Чекать через fuzzy search любую аномалию по этому ТС.
1. ТС с путями до легитимных системных исполняемых файлов.
2. Чекать через fuzzy search любую аномалию по этому ТС.
К
стоп, при чем здесь то, что реализовано в ES? табличные списки с ES вообще не пересекаются
К
по сути, ес с его функционалом - это только к фильтрам по событиям
К
ну и (может быть) к ретрокоррелятору
RS
Если в ES уже реализована функция нечеткого поиска, то почему бы её не использовать? А правило построить на логике:
1. ТС с путями до легитимных системных исполняемых файлов.
2. Чекать через fuzzy search любую аномалию по этому ТС.
1. ТС с путями до легитимных системных исполняемых файлов.
2. Чекать через fuzzy search любую аномалию по этому ТС.
потому что это не ES, а наш пайплайн
и это одна из проблем
все же хотят консистентности XP и PDQL
при том, что PDQL так или иначе, но является зависимым от реализации примитивов на стороне СУБД
обеспечить идентичность поведения fuzzy поиска у нас и в ES - отдельная задача
и это одна из проблем
все же хотят консистентности XP и PDQL
при том, что PDQL так или иначе, но является зависимым от реализации примитивов на стороне СУБД
обеспечить идентичность поведения fuzzy поиска у нас и в ES - отдельная задача
К
мы, если чо, хотим только сходных синтаксически конструкций, а не консистентности
RS
это вы сейчас так говорите
а потом будет вопрос, а почему оно по разному работает
может и не от вас
а потом будет вопрос, а почему оно по разному работает
может и не от вас
RS
регулярки эластик тоже не по PCRE реализовал
К
это вы сейчас так говорите
а потом будет вопрос, а почему оно по разному работает
может и не от вас
а потом будет вопрос, а почему оно по разному работает
может и не от вас
не будет, если различия работы будут описаны
e
по сути, ес с его функционалом - это только к фильтрам по событиям
+
e
стоп, при чем здесь то, что реализовано в ES? табличные списки с ES вообще не пересекаются
Это был пример реализации более адекватной логики выявления таких аномалий вне MP SIEM.
К
мне по началу дико рвало шаблон, что я не могу фильтр по событиям перености через ctrl+c - ctrl+v в фильтр правила
RS
не будет, если различия работы будут описаны
будет
RS
кстати, я тут на днях сказал, что == лучше =
так я был неправ
так я был неправ
e
потому что это не ES, а наш пайплайн
и это одна из проблем
все же хотят консистентности XP и PDQL
при том, что PDQL так или иначе, но является зависимым от реализации примитивов на стороне СУБД
обеспечить идентичность поведения fuzzy поиска у нас и в ES - отдельная задача
и это одна из проблем
все же хотят консистентности XP и PDQL
при том, что PDQL так или иначе, но является зависимым от реализации примитивов на стороне СУБД
обеспечить идентичность поведения fuzzy поиска у нас и в ES - отдельная задача
Без шуток, я всё ещё жду реализации)
Кейсы когда-то были накиданы.
Кейсы когда-то были накиданы.
RS
Без шуток, я всё ещё жду реализации)
Кейсы когда-то были накиданы.
Кейсы когда-то были накиданы.
я тоже )
К
кстати, я тут на днях сказал, что == лучше =
так я был неправ
так я был неправ
а конкретнее?