A
Настоящий должен руководить, ездить на вендорские конфы кивать гривой, выбирать решения, "выбивать" бюджеты. А не вот это вот все
Size: a a a
2019 June 02
A
Хороший, ещё блог должен вести!
VG
Да так почти везде
Нет. В Qradar так нельзя. Он может брать данные только из отдельной вьюшки😂
A
Можно сформировать запрос на стороне qradar, но это не официальный метод, так что на свой страх и риск ;)
A
Alexey
А скриншот с правилами корреляции покажите? Вот самый красивый
А как это вообще выглядит? В любом siem?
A
В смысле?
A
Вы как правила корреляции собираетесь настраивать?
A
Alexey
Вы как правила корреляции собираетесь настраивать?
Скриншот с правилами корреляции? Как это по Вашему должно выглядеть?
Z
Anton
Скриншот с правилами корреляции? Как это по Вашему должно выглядеть?
Пример корреляции с детектом брутфорса в windows
A
Anton
Скриншот с правилами корреляции? Как это по Вашему должно выглядеть?
Ну вот в комраде на скриншоте видно, как они настроенные события и детекты складывают в правила. В чем вопрос?
A
Anton
Скриншот с правилами корреляции? Как это по Вашему должно выглядеть?
Вы с какими SIEM сталкивались?
A
Arс/splunk. Собственно я и уточнил, о чем речь
A
Ну мне бы хотелось конструкций не "IF xxx then yyy", c вложенными условиями IF-THEN", дополнительными, a "IF xxx and YYY then ZZZ"
A
*про спланк не сием, было уже?
A
Alexey
*про спланк не сием, было уже?
Боян
VG
Alexey
*про спланк не сием, было уже?
не риалтайм
VG
точнее Splunk норм, но хранить 100500 серчей в плнировщике это капец
A
Ну тут к DB скорее вопросы, как она умеет
2019 June 03
$
Набегуны:)
