ДБ
Не подскажите что может быть
Size: a a a
2020 May 06
ДБ
Поставил вместо ip fqdn и заработало
AR
Коллеги, подскажите, можно ли импортировать отчёт в формате csv в SIEM?
m
Коллеги, подскажите, можно ли импортировать отчёт в формате csv в SIEM?
Что из себя представляет отчет? События в csv файле?
Тогда для разового импорта сделать профиль на основе fileimporter и указать там подходящие параметры (csv_parser и т.д.)
Тогда для разового импорта сделать профиль на основе fileimporter и указать там подходящие параметры (csv_parser и т.д.)
AR
max
Что из себя представляет отчет? События в csv файле?
Тогда для разового импорта сделать профиль на основе fileimporter и указать там подходящие параметры (csv_parser и т.д.)
Тогда для разового импорта сделать профиль на основе fileimporter и указать там подходящие параметры (csv_parser и т.д.)
информацией с MP8 обогатить активы в SIEM
m
информацией с MP8 обогатить активы в SIEM
Хм.. А поему не воспользоваться штатным импортом отчетов mp8 по гайду?
AR
А это хороший вопрос
EP
информацией с MP8 обогатить активы в SIEM
Какую именно информацию из MP8 необходимо загрузить в SIEM?
A
Не подскажите что может быть
Утилита не дождалась перезагрузки es и по таймауту завершилась.
v
Коллеги, всем привет! Подскажите пожалуйста, а есть ли от вендора что-то типа доки "Best practices", по поводу того, какие события есть смысл нормализовать, и как лучше подходить к этому процессу?
И есть ли описание того, что уже нормализовано из коробки? (например источник и ID событий источника) либо что-то похожее? По 2 вопросу интересует в первую очередь виндовые соьытия
И есть ли описание того, что уже нормализовано из коробки? (например источник и ID событий источника) либо что-то похожее? По 2 вопросу интересует в первую очередь виндовые соьытия
Z
Коллеги, всем привет! Подскажите пожалуйста, а есть ли от вендора что-то типа доки "Best practices", по поводу того, какие события есть смысл нормализовать, и как лучше подходить к этому процессу?
И есть ли описание того, что уже нормализовано из коробки? (например источник и ID событий источника) либо что-то похожее? По 2 вопросу интересует в первую очередь виндовые соьытия
И есть ли описание того, что уже нормализовано из коробки? (например источник и ID событий источника) либо что-то похожее? По 2 вопросу интересует в первую очередь виндовые соьытия
Наврятли
Z
Надо исходить из того что вы будете детектить и что вам понадобится при ir
Z
Чуть ли не сугубо личное дело
Z
Например пт не нормализует крон события из сислога, а оно мне надо ;)
Z
Я вижу в этом необходимость, а они нет;)
RS
Надо исходить из того что вы будете детектить и что вам понадобится при ir
++
RS
нормализовать всё невозможно
мы сейчас стараемся строить нормализацию от детектов
это не единственная мотивация при выборе, но самая важная
мы сейчас стараемся строить нормализацию от детектов
это не единственная мотивация при выборе, но самая важная
Z
нормализовать всё невозможно
мы сейчас стараемся строить нормализацию от детектов
это не единственная мотивация при выборе, но самая важная
мы сейчас стараемся строить нормализацию от детектов
это не единственная мотивация при выборе, но самая важная
Возможно но смысла нет;)))
m
Я вижу в этом необходимость, а они нет;)
не ты один )
m
Возможно но смысла нет;)))
методом "а положим-ка мы всё событие в datafieldXX"? В таком варианте точно смысла нет.