RS
Если тебе щас накидают детали использования, то ты будешь плохо спать ))))
Намного интереснее спать потом, когда выяснится неполнота представления)))
Size: a a a
2020 April 06
NA
Одаааа... у меня после создания даже первых версий движка ТС в MP остался нервный тик
SR
Во всех кейсах... поверь... во всех. Начиная от профилирования и обогащения, и заканчивая банальным white и black листингом.
То что листы можно использовать везде я не сомневаюсь. Вопрос скорее адресован тем кто эксплуатирует SIEMы. В любой инсталляции системы есть сабсет наиболее полезных правил, кторые меньше всего фолсят и дают профит. Вот и интересно какие списки востребованы в данных правилах
v
Соглашусь с предыдущими ораторами. Вообще во всех. Мы это тоже осознали ооооочень поздно.
v
Как минимум все правила в теории должны иметь листы исключений.
ML
Коллеги, всем привет
Сейчас проводим оптимизацию нашего корреляционного движка, интересно узнать мнение community:
В каких кейсах чаще всего используете Табличные списки aka Active List akа Reference Set.
Тому кто потратит 20 минут времени и напишет развернутый ответ - скажу большое спасибо)
Сейчас проводим оптимизацию нашего корреляционного движка, интересно узнать мнение community:
В каких кейсах чаще всего используете Табличные списки aka Active List akа Reference Set.
Тому кто потратит 20 минут времени и напишет развернутый ответ - скажу большое спасибо)
настоятельно рекомендую научить списки в регулярные выражения
SR
настоятельно рекомендую научить списки в регулярные выражения
Не могли бы вы кейс озвучить где это предполагается использовать. "Научить в регулярки" тоже можно по разному.
Это про поиск по регулярке?
Это про поиск по регулярке?
ML
Не могли бы вы кейс озвучить где это предполагается использовать. "Научить в регулярки" тоже можно по разному.
Это про поиск по регулярке?
Это про поиск по регулярке?
корреляция триггерится на событие с
параметром1
и параметром2
и параметром3
и не табличный список
вот чтобы в табличный список не заносить каждое отдельное исключение (например параметр или его часть, который меняется каждую секунду случайно)
параметром1
и параметром2
и параметром3
и не табличный список
вот чтобы в табличный список не заносить каждое отдельное исключение (например параметр или его часть, который меняется каждую секунду случайно)
ML
Не могли бы вы кейс озвучить где это предполагается использовать. "Научить в регулярки" тоже можно по разному.
Это про поиск по регулярке?
Это про поиск по регулярке?
ну или да. корреляция (например) на значения из таблички
МЖ
На всякий случай глянул соотношение правила\списки.
Почти 1:1.
Так что да, во всех юзкейсах используются списки.
И да, возможность поиска по регулярке и любым полям списка - сильно облегчает жизнь.
Почти 1:1.
Так что да, во всех юзкейсах используются списки.
И да, возможность поиска по регулярке и любым полям списка - сильно облегчает жизнь.
К
Не могли бы вы кейс озвучить где это предполагается использовать. "Научить в регулярки" тоже можно по разному.
Это про поиск по регулярке?
Это про поиск по регулярке?
это про поиск по регулярке в самом списке (на самом деле, есть ощущение, что LIKE было бы достаточно), это и матчинг по регулярке, хранимой в списке. алсо, на табличках держится то, от чего подохнет любая корреляция - например, корр сработки на события, раскиданные по временному интервалу в несколько месяцев
SR
Всем спасибо за ответы.
Кейсы с white/black листингом понятны.
А кто-то в серьез использует управление списками со стороны правил: наполнение чем-либо, удаление записей из списка прямо из правила?
Кейсы с white/black листингом понятны.
А кто-то в серьез использует управление списками со стороны правил: наполнение чем-либо, удаление записей из списка прямо из правила?
МЖ
конечно :)
NA
Наполнение из правила и вычитывание этих данных другим или этим же правилом - второй по значимости кейс.
NA
Иногда и первый
МЖ
откопал свой древний чеклист по сиемам - про списки
К
зачастую одно правило и пишет, и читает из списка. типичный юзкейс - изоляция идентичных сработок/фильтрация дублей
SR
Максим Жевнерев
откопал свой древний чеклист по сиемам - про списки
о! спасибо за развернутый ответ
SR
Наполнение из правила и вычитывание этих данных другим или этим же правилом - второй по значимости кейс.
Коля, то что ты описал это фича а не кейс. Ты какие значимые кейсы имеешь в виду при этом?
К
Коля, то что ты описал это фича а не кейс. Ты какие значимые кейсы имеешь в виду при этом?
кейс я описал. пользуйтесь.