L
Zer0way:
https://github.com/feedb/MPSiem_addons/tree/master/import%20blacklists%20in%20list
скрипт выложил для импорта в табличных список айпишников из блэклистов
и импорт айпишников из тора добавил
у кого есть чем поделиться - накидывайте)
Size: a a a
2018 September 18
Z
корреляции, скрипты, фичи
Z
все собрать в 1 месте
M
Ещё одно предложение по улучшению. Создать репозитарий дистрибутивов самого siem. Доступный заказчикам и партнёрам.
L
И тишина, и мертвые с косами стоят
П
До первого инцидента, потом будут спрашивать почему правило отработало так а не иначе😁
Z
M
Может собрались здесь: 2 кто эксплуатирует, 10 интегратора(причем от одного), а остальные от вендора. Вот и молчат. ))
Z
((:
IP
Кто-нибудь переписывал правила корреляции для процесса lsas.exe?
RS
их там несколько
с каким у вас проблема?
с каким у вас проблема?
2018 September 19
M
Коллеги кто-нибудь сталкивался со сбором событий из infowatch 6.9 в siem? В документации поддержка есть версии 6.7
e
Кто-нибудь переписывал правила корреляции для процесса lsas.exe?
Апну вопрос - что не так с коробочными правилами по lsass?
Какой кейс пытаетесь решить?
Какой кейс пытаетесь решить?
e
Это я к тому, что у нас много своих кастомных правил и, возможно, мы сможем помочь вам с решением проблемы, если узнаем в чем же она заключается)
RS
Касательно IW 6.9. Если у вас что-то не так нормализуется, давайте пример. Или через саппорт уже заводили заявку?
L
Все работает отлично :)
L
Касательно IW 6.9. Если у вас что-то не так нормализуется, давайте пример. Или через саппорт уже заводили заявку?
Я про это )
L
Из коробки, настроить надо на стороне infowatch чтобы он данные передавал, а на стороне siem настроить задачу сьора
L
Сбора