ММ
Есть скрипт по очистки базы инцидентов, надо?
Size: a a a
2019 April 22
К
Максим Максимович
Есть скрипт по очистки базы инцидентов, надо?
конечно!)
IS
Максим Максимович
Есть скрипт по очистки базы инцидентов, надо?
А то)
ММ
так, у кого тут был гит лаб для комьюнити?
Z
Максим Максимович
так, у кого тут был гит лаб для комьюнити?
+ у меня
AS
Максим Максимович
Есть скрипт по очистки базы инцидентов, надо?
Дайте два! :)
К
Дайте два! :)
я поделюсь ;)
ММ
ок, сейчас сделаем))
К
коллеги, а на питоне под патруль кто-нибудь пишет?
К
не из позитива)
ММ
у меня такой же вопрос, почему все любят SPL, а наш кастомный модуль боятся? ))
e
а пара лимонов взведенных инцов?)
Управлять типом событий, создаваемых корреляцией, можно через параметры, заданные в табличном списке (ТС). ТС можно формировать динамически и, скажем, при количестве срабатываний одной корреляции => 100/час или 1000/сутки, переводить правило в режим "event".
e
Немного костыль, но работает.
e
А вот удалять по крону инциденты из БД это очень сомнительное решение. Нормальное, только в том случае, если вы не пользуетесь вкладкой "Инциденты", но в этом случае, все правила можно перевести в "event".
К
Максим Максимович
у меня такой же вопрос, почему все любят SPL, а наш кастомный модуль боятся? ))
потому что спл документирован хоть как-то, кастомный же модуль почти никак. собственно, на мой взгляд, одна из основных проблем PT Siem сейчас именно открытость документации и комьюнити вокруг неё. хотя не уверен, что такая же открытость, как у спл, пойдёт на пользу продукту для госов, где security through obscurity всё ещё ценится и уважается
G
А еще есть такая штука как аггрегация инцидентов, когда новые ивенты подшиваются к уже заведенному инциденту. Но я преподаватель, я знаю только теорию этого процесса, а сам не проверял
К
Управлять типом событий, создаваемых корреляцией, можно через параметры, заданные в табличном списке (ТС). ТС можно формировать динамически и, скажем, при количестве срабатываний одной корреляции => 100/час или 1000/сутки, переводить правило в режим "event".
ты таки почти угадал. а теперь вспомните 19.1 и то, как работает коррелятор с последовательными вставкой-чтением в/из списька
К
Gullible Beaver
А еще есть такая штука как аггрегация инцидентов, когда новые ивенты подшиваются к уже заведенному инциденту. Но я преподаватель, я знаю только теорию этого процесса, а сам не проверял
а вот здесь подробнее очень надо. я уже давно хочу этот функционал засунуть подальше от табличных списков и корреляции/обогащения
e
ты таки почти угадал. а теперь вспомните 19.1 и то, как работает коррелятор с последовательными вставкой-чтением в/из списька
Коррелятору достаточно только читать, обагатителю записать только первые N раз для каждого фолзящего правила. Если у вас каждое из правил фолзит, то это немного странно)
G
а вот здесь подробнее очень надо. я уже давно хочу этот функционал засунуть подальше от табличных списков и корреляции/обогащения
1. Где-то в настройках сиема (в ptsiem.conf?) есть настройка временного окна для ашгрегации инцидентов. По умолчанию пять минут, для начала ее надо увеличить.
2. Аггрегируются в один инцидент корреляции у которых совпали два кортежа полей про соус и дестинейшн. Полный список на память не помню, а я сейчас не на работе.
3. Если хоть одно из этих полей не задано, т.е. null, то поле считается "другим" и агрегация не происходит.
В основном из-за третьего пункта агрегация инцидентов никогда не наблюдается в дикой природе.
2. Аггрегируются в один инцидент корреляции у которых совпали два кортежа полей про соус и дестинейшн. Полный список на память не помню, а я сейчас не на работе.
3. Если хоть одно из этих полей не задано, т.е. null, то поле считается "другим" и агрегация не происходит.
В основном из-за третьего пункта агрегация инцидентов никогда не наблюдается в дикой природе.