да, в ближайшее время появится на https://www.youtube.com/user/videoCFT

Всем привет.
Кто-то заморачивался с вопросом по набору полей виндовых логов для опции case_insensitive_whitelist сигмаконвертера?
Те поля, куда может прилететь lowercase/uppercase в зависимости от инпута от юзера

Бэкэнд эластик, напрямую через винлогбит, бахнуть все по дефолту в lowercase например пока нет возможности

нет возможности переводить в lowercase самим винлогбитом?

неа

там в процессорах на эту тему кукиш

а что мешает сделать это эластиком?

Можно попробовать через script processor. На Javascript.
Сам не пробовал, но думаю будет как-то так:
var str = event.Get(key);
var res = str.toLowerCase();
event.Put(key, res);

Можно подсмотреть во встроенных модулях Xpack, что-то похожее должно быть точно. Можно свой модуль написать.

ES pipeline это сделает без проблем. однако, зависит от нагрузки

согласен. только ноды подавай.

но тут я про скрипт на самом бите. Если задача такая стоит.

Привет!

Мы разработали чат-бота для геймификации устранения уязвимостей на корпоративных компьютерах. Нам удалось уменьшить время установки обновлений до нескольких дней вместо обычных 1-2 месяцев.

Мы решили, что наш продукт может заинтересовать другие команды, поскольку такую же проблему мы видим в десятках других компаний. Так появилась Mana Security — сервис, который внутри мы называем “управление уязвимостями на автопилоте”.

Нашим продуктом пользуется компании со схожим стеком технологий — macOS и Tenable. Сейчас мы выясняем потребности других команд для приоритизации разработки новых функций продукта (поддержи бОльшего числа ОС, интеграций со сканерами).

Если вам интересен подобный продукт, зарегистрируйтесь на демо, заполнив небольшой опросник (этим вы нам очень поможете), и мы предоставим вам специальную скидку для сообщества ($2 в месяц за хост, обычная цена - $5/хост):

https://manasecurity.com/community

Смотрел в ту сторону, надо попробовать но интуитивно вызывает внутреннее отторжение. Чувствую, переходить мне на схему с логстешем посредине

Put
Put a value into the event.
If the key was already set then the previous value is returned.

Похоже, там в любом случае грабли, даже если б мне было удобно применить этот способ.
Ждет меня логстеш, в общем. Не прокатило от него избавиться(

Ну тогда, как уже предложили, сделать это на эластике. Например на ingest ноде.

Там тоже через скрипт, так как все поля хлопнуть надо, а аналога мутейта kv из логстеша нет.
Выделенной инжест ноды нет и не предвидится, да и вообще админы инфраструктуры логов стараются избегать  практики обработки на самом эластике.
Очевидно, что классическое через логстеш выходит по всем критериям проще

Всем спасибо за советы и идеи)

Кто-то пользовался: https://github.com/InQuest/ThreatIngestor  ?
Если есть, небольшой отзыв бы)

Лазил по его парсерам. Если вы будете им парсить twitter, то он вытащит индикаторы только в половине случаев с самым простым экранированием