Второй апдейт пакета экспертизу под удаленку приехал: https://www.ptsecurity.com/ru-ru/about/news/paket-ekspertizy-dlya-bezopasnoy-udalennoy-raboty-v-maxpatrol-siem-popolnilsya-novymi-scenariyami/

Правила из апдейта для версий 21.0 и 21.1.: https://storage.ptsecurity.com/f/00538043ef9d47838c4d/?dl=1

Коллеги, а в 22 версии можно, наконец, нормальные имена инцидентам давать, а ля как событиям?

incident.name в корреляции доступен

А через правила локализации?

вы чего хотите сделать то?
локализации там нет такой, какая имеется в событиях

Да у меня сейчас 21 версия, и в  имена инцидентов автоматом подставляется correlation_name, а не как у событий описание из правила локализации, что не удобно. Думал в 22 что от с этим сделали

в R22 есть возможность описать любую логику формирования имени инцидента в коде правил корреляции и обогащения

через изменение incident.name

Понятно, спасибо

почему не так, как в событиях
локализация событий решает задачу быстрой оценки при просмотре грида, в котором  перемешаны самые разные события (и их миллиарды в сутки)
инциденты штука заметно более точечная и требующая внимания
чтобы была польза. их не должно быть много
ну и типов их не то чтобы миллионы
поэтому есть возможность управлять этим процессом на низком уровне и очень гранулярно
вы даже можете переписать наши incident.name обогащениями
на свой страх и риск, разумеется

Я пока на 21 версии ...

Вы же сами имя задаёте?

Но туда нельзя что то добавить из событий(

Я в локализацию добавляю

С переменными

Да и кириллицу не понимает

С инцидентам на 21 не прокатывает

С 19 работаю так

CITTO_SIEM_detect_port_scan Подробности: Обнаружено сканирование портов с хоста 10.11.1.1

Норм же?