Телеграмм чат группы MPSIEMChat страница 901

похожие 1644 в логах DC есть?
хотя там запарно искать

23:39пожаловаться #1

провел еще раз аудит, появился домен

23:54пожаловаться #2

Dips in MaxPatrol SIEM

Завтра скину парочку запросов, что бы было с чего начать..

23:59пожаловаться #3

2020 April 24

надо все потыкать да, понять что есть что а потом пилить ТС и кореляхи

00:02пожаловаться #4

Zer🦠way

провел еще раз аудит, появился домен

А в таймлайне у него сколько сканов?

00:02пожаловаться #5

Roman Sergeev

А в таймлайне у него сколько сканов?

по моему это прошлый скан подтянулся

00:02пожаловаться #6

15 mb? Долго что-то процессилось

00:03пожаловаться #7

нууу ка кетсь

00:03пожаловаться #8

Сколько узлов?

00:04пожаловаться #9

~4900

00:04пожаловаться #10

5500+ users

00:04пожаловаться #11

ладно

00:08пожаловаться #12

все спать

00:08пожаловаться #13

спасибо

00:08пожаловаться #14

14:04пожаловаться #15

Коллеги, привет!

14:04пожаловаться #16

А что значит + в правиле?

14:04пожаловаться #17

Типа несколько раз одно из трёх?

14:04пожаловаться #18

Sergey Rybkin in MaxPatrol SIEM

Vladimir Soloviev

А что значит + в правиле?

больше одного раза может быть событие

14:05пожаловаться #19

Sergey Rybkin in MaxPatrol SIEM

Пример:
rule Example: Event+ timer 5s
# Выполнено при регистрации за 5 секунд любого числа Event.