Z
а коробочное отключить
Size: a a a
2020 April 22
m
qwec
Добрый день, коллеги, подскажите пожалуйста: можно-ли добавить в уведомление об инцидентах дополнительные поля, например источник события? В документации информации по этому поводу не нашел.
А что именно добавить-то хочется?
источник события - вещь довольно расплывчатая - что добавлять если мы написали корреляцию на 100+ событий с нескольких источников (AD, СКУД, etc)?
источник события - вещь довольно расплывчатая - что добавлять если мы написали корреляцию на 100+ событий с нескольких источников (AD, СКУД, etc)?
q
max
А что именно добавить-то хочется?
источник события - вещь довольно расплывчатая - что добавлять если мы написали корреляцию на 100+ событий с нескольких источников (AD, СКУД, etc)?
источник события - вещь довольно расплывчатая - что добавлять если мы написали корреляцию на 100+ событий с нескольких источников (AD, СКУД, etc)?
Не совсем правильно выразился, скорее имя задачи с которой событие было получено
ИБ
max
А что именно добавить-то хочется?
источник события - вещь довольно расплывчатая - что добавлять если мы написали корреляцию на 100+ событий с нескольких источников (AD, СКУД, etc)?
источник события - вещь довольно расплывчатая - что добавлять если мы написали корреляцию на 100+ событий с нескольких источников (AD, СКУД, etc)?
Речь скорее всего идет о настраиваемых отчетах, чтобы можно было добавлять поля инцидента в них (либо правила корреляции) - типовыми полями являться будут:
- идентификатор субьекта осуществляющего воздействие
- идентификатор объекта, на которое осуществляется воздействие (опционально)
- источник фиксирования воздействия
На практике с таким встречался, когда надо MP SIEM под тех. требования другого SIEM-вендора подвести. В частности ArcSight.
- идентификатор субьекта осуществляющего воздействие
- идентификатор объекта, на которое осуществляется воздействие (опционально)
- источник фиксирования воздействия
На практике с таким встречался, когда надо MP SIEM под тех. требования другого SIEM-вендора подвести. В частности ArcSight.
RS
Если релиз 22 и расширять данными не из исходных событий, а константами или данными из ТС, то можно обогащением на алерт обойтись.
Иначе - клонирование кода и модификация
Иначе - клонирование кода и модификация
q
Т.е на почту приходит уведомление с каким-то инцидентом и рядом название задачи, которая данное событие вытянула
q
В инцидент то нужное поле я добавлю, но в самом письме с инцидентом его не будет же
T
Нужна помощь
Сеть с маской подсети 255.255.255.192 разбили на подсети, в которых 2 узла. Как измениться маска подсети ? Введите число единичных бит в получившейся маске подсети. Вы должны ввести действительное число. Не включайте в ответ размерность
Сеть с маской подсети 255.255.255.192 разбили на подсети, в которых 2 узла. Как измениться маска подсети ? Введите число единичных бит в получившейся маске подсети. Вы должны ввести действительное число. Не включайте в ответ размерность
RS
вы экзамен сдаёте?
T
Да
D
это экзамен по SIEM'у или CCNA?)))
К
сиемщик, который не знает адресную арифметику... теперь я видел больше
D
сиемщик, который не знает адресную арифметику... теперь я видел больше
а зачем она в сиеме?))
К
чтобы источники задавать.
К
а так же проверять принадлежность адреса к подсети, получать перечень получателей бродкаст пакетов, вычислять геолокацию...
m
Вопрос вообще весело сформулирован.
и про 2 узла есть вариации и введите действительное число бит душу греет )
и про 2 узла есть вариации и введите действительное число бит душу греет )
RS
max
Вопрос вообще весело сформулирован.
и про 2 узла есть вариации и введите действительное число бит душу греет )
и про 2 узла есть вариации и введите действительное число бит душу греет )
эта задача гуляет по сети
ИБ
Буду занудой. Если я правильно понял вопрос, то:
1. 255.255.255.192 это подсеть с 64 адресами. Фактически адресов в данной подсети может быть 62 (64 - указатель сети и минус броадкаст)
2. Ее можно разбить на 16 сетей c маской /30 = 255.255.255.252 (4 адреса - указатель сети и минус броадкаст). В последнем октете маски = 11111100. Итого: 11111111.11111111.11111111.11111100
1. 255.255.255.192 это подсеть с 64 адресами. Фактически адресов в данной подсети может быть 62 (64 - указатель сети и минус броадкаст)
2. Ее можно разбить на 16 сетей c маской /30 = 255.255.255.252 (4 адреса - указатель сети и минус броадкаст). В последнем октете маски = 11111100. Итого: 11111111.11111111.11111111.11111100
m
Буду занудой. Если я правильно понял вопрос, то:
1. 255.255.255.192 это подсеть с 64 адресами. Фактически адресов в данной подсети может быть 62 (64 - указатель сети и минус броадкаст)
2. Ее можно разбить на 16 сетей c маской /30 = 255.255.255.252 (4 адреса - указатель сети и минус броадкаст). В последнем октете маски = 11111100. Итого: 11111111.11111111.11111111.11111100
1. 255.255.255.192 это подсеть с 64 адресами. Фактически адресов в данной подсети может быть 62 (64 - указатель сети и минус броадкаст)
2. Ее можно разбить на 16 сетей c маской /30 = 255.255.255.252 (4 адреса - указатель сети и минус броадкаст). В последнем октете маски = 11111100. Итого: 11111111.11111111.11111111.11111100
а если мне нужны p2p сети /31?
ровно с 2-мя адресами?
ровно с 2-мя адресами?
m
ну и "действительное число" тоже вызывает вопросы