к
как я понял только письма может слать
Size: a a a
2019 December 11
Z
как я понял только письма может слать
Да, все остальное рукоблудием
$
Да, все остальное рукоблудием
Вот и вопрос - каким
Z
Вот и вопрос - каким
Апи есть, делай что хочешь
к
Да, все остальное рукоблудием
рукоблудие и пугает. особенно учитывая любовь менять всё к чёрту
$
Апи есть, делай что хочешь
Апи несколько не для этого...
Z
рукоблудие и пугает. особенно учитывая любовь менять всё к чёрту
Ну есть такое да, надеюсь такого не будет;)
Z
Апи несколько не для этого...
Ну тут уж извините;)) что есть с тем и работаю
RS
По поводу тикетницы и SIEM - делайте тикеты в ИТшной. Все равно много работы им выполнять. Все встроенные тикетницы в продуктах по безопасности - нишевая история, подходящая только для редких мелких случаев
Это здраво. Но я вот помню, как мне рассказывали, почему IT их больше не пускает в свою с автозаведением инцидентов SIEM-ом из правого верхнего квадрата))
к
Это здраво. Но я вот помню, как мне рассказывали, почему IT их больше не пускает в свою с автозаведением инцидентов SIEM-ом из правого верхнего квадрата))
а потому что нефиг пользоваться стандартными правилами поставляемыми по умолчанию
к
уже не однакратно говорилось что они не работают
Z
уже не однакратно говорилось что они не работают
В последнем релизе таки есть несколько правил которые годные;)
RS
а потому что нефиг пользоваться стандартными правилами поставляемыми по умолчанию
Кто вам сказал, что это были они?
Z
Ну а так пишем свой контент и улыбаемся;)
к
В последнем релизе таки есть несколько правил которые годные;)
да я читал о замечательном правиле чека path the ticket оторванное от понимание как работают реальные сети
NR
Это здраво. Но я вот помню, как мне рассказывали, почему IT их больше не пускает в свою с автозаведением инцидентов SIEM-ом из правого верхнего квадрата))
Авто заведение работает только при очень высоком качестве данных, кореляции и малом обьеме тикетов
Z
да я читал о замечательном правиле чека path the ticket оторванное от понимание как работают реальные сети
Неее;) не о нем речь
NR
Если идти с начала - начните вручную делать начальный triage в SIEM и на основе этого уже делать тикеты в сервисдеске
v
Давно CEF придумали и csv
значит речь о уже нормализованных событиях. Значит в вышестоящем сиеме можно выкинуть всё что кассается правил номрализации, аггрегации, корреляции. и писать заново. кажется спасибо никто за это не скажет. ну и цеф прекрасен, сиди и разбирай кастомстринг1 кастомстринг2 кастомстринг3 и т.д.
v
блин отошел на встречу а тут опять столько сообщений