Наткнулся в правилах нормализации на строчку !COND = условие
Как читать это !COND? В документации про ! ничего не нет

И устаревшим это было ещё в версии 19 )

Добрый вечер подскажите удалось ли решить проблему?

Написали своё правило. Несколько неуклюже, не удалось разобраться с поддержкой заполнения списков из интерфейса, но работает.

Positive Technologies представили весьма интересные, но вовсе неутешительные результаты анонимного опроса специалистов ИБ, согласно которому целевым атакам подвергались треть российских компаний, а 16% выплатили выкуп.

Фокус-группа исследования охватывала предприятия в сфере финансов, промышленности, ТЭК, образования, телекоммуникаций, здравоохранения, СМИ и госуправления. 44% атак пришлось на финансовые компании, затем следуют ТЭК и госучреждения (33% и 29% соответственно).

Большинство целевых атак проводились после тщательной разведки и в реальности приводили к с таким последствиям, как простой инфраструктуры, нарушение бизнес-процессов и уничтожение или изменение данных.

И, чему вовсе не удивлены: большинство организаций практически не защищены от подобных угроз: нет даже базовых средств защиты, в том числе и антивирусов. Соответствующий обнаружении злоумышленника в сети функционал имеет лишь каждая пятая компания: Sandbox используют 28% опрошенных, системы глубокого анализа трафика (NTA) 27%. Специализированные комплексные решения используют лишь 15% респондентов.

Вместе с тем, исследование отражает и позитивные тренды: все больше компаний начинают осознавать необходимость усиления ИБ и планируют внедрять конкретные средства защиты.

Представители промышленности собираются закупать системы мониторинга событий ИБ SIEM (40%), глубокого анализа трафика - NTA (36%), проверки файлов в изолированной виртуальной среде Sandbox (36%). В финансовой отрасли 40% организаций будут усиливать защиту от целевых атак, используя комплексные решения, а 27% склоняются к решениям для защиты конечных точек EDR и файрволам NGFW.

67% специалистов взяли на вооружение базу MITRE ATT&CK (либо планируют ее применять в работе). Настоятельно рекомендуем ознакомиться с полной версией исследования.

Молодцы, ща еще наш выйдет

Добрый день.
Народ подскажите по проводу правила корреляции Unusual_TGS_Request https://pastebin.com/8C2R7eYW (Сеансовый билет (TGS) запрошен впервые за более чем 30 дней)
Но у нас часто отрабатывает данное правило.
Политикой безопасности Kerberos билет действует 8ч.
Нам поправить описание правила корреляции или где то в правиле есть счетчик, я его не нашел?

Добрый день! Подскажите пожалуйста, где в самой программе посмотреть номер лицензий агента. Что бы понять какой агент нужно продлить.

Добрый день.
Подскажите, на текущий момент, актуальная сертифицированная версия MP SIEM -  23.0.3539?

Да

спасибо

Всем добрый день

Имеется такое оповещение, насколько я понял требуется выполнить настройки из инструкции

Соответственно 2 вопроса: 1. Эта настройка влияет сразу на все правила корреляции? 2. Какое максимально возможное пороговое значение выставить, что бы правила не приостанавливались?

Добрый день, может быть стоит переписать само правило?

Да, но можно исключить отдельные правила из под действия этого механизма

Можно попробовать настроить белые листы в самом правиле