HT
а зачем вам 4634? мой опыт показывает, что пользы от сбора этого события как правило немного
Size: a a a
2020 May 12
К
Теймур, спасибо за идею, попробую исключить все логоны с типом 3 и посмотреть, сойдется ли
Тип 3 это 95%+
A
хочу попробовать построить сессии пользователей
К
Есть только DC log?
y
да, этим я и займусь, просто не факт, что даст результат
а как анализ этих данных может не дать результат
y
вы иным способом не узнаете откуда «разница такого порядка»
y
ну вам могут конечно начать советовать
y
но в чем смысл если данные у вас уже есть и надо только проанализировать
A
а как анализ этих данных может не дать результат
ну он только покажет где проблема, максимум, но не ее причину. Построю, например, распределение по компам, а там равномерно расхождение размажется. Какой из этого вывод? Я пока не знаю. Вот если будет яркий пик, например, на DC почти всё расхождение собралось, то тут можно уже садиться и изучать работу DC подробнее, что там вызывает это расхождение. Это как пример.
A
Если я забыл какой-то EID в этой выборке, то мне любое распределение не поможет, как пример, опять же.
y
постройте топ по типам логона
y
топ по юзерам
A
В общем пытаюсь, так сказать, проверить полноту и достаточность модели, от котрой анализ буду проводить, пержде чем непосредственно анализ начинать
NA
Доброй ночи/дня/утра. А в этом чатике кто-нибудь использует Apache Nifi в SOC? Есть несколько процессоров, которые я пишу и поддерживаю при сборе индикаторов. Вот думаю, стоит ими делиться или нет )))
2020 May 13
А
Доброй ночи/дня/утра. А в этом чатике кто-нибудь использует Apache Nifi в SOC? Есть несколько процессоров, которые я пишу и поддерживаю при сборе индикаторов. Вот думаю, стоит ими делиться или нет )))
Стоит)
NA
Стоит)
Ок, на неделе залью на github то, чем готов поделиться и скину ссылку.
А
Ок, на неделе залью на github то, чем готов поделиться и скину ссылку.
☺️
к🐧
В общем пытаюсь, так сказать, проверить полноту и достаточность модели, от котрой анализ буду проводить, пержде чем непосредственно анализ начинать
Это ещё события 4800 и 4801 надо учитывать, и ещё логины по rdp, и неинтерактивные логины тоже надо исключить.
...
...
И все равно не получишь внятного подсчета времени работы)
А ещё сессия пользователя и 4624 - не совсем одно и то же
...
...
И все равно не получишь внятного подсчета времени работы)
А ещё сессия пользователя и 4624 - не совсем одно и то же
$
Z
ага ага 👍