«Так, казалось бы, простейшими примерами статистических закономерностей, характеризующих студентов какого-либо вуза, мы можем считать утверждения вида: «20% студентов вуза — юноши»; «средняя успеваемость студентов — 6,7 баллов»; коэффициент корреляции между успеваемостью студента на первом и на пятом курсе равен 0,8 и т.д. Однако сказанное позволяет нам расценивать эти соотношения как статистические закономерности только в том случае, если «переведем» их на «язык» генеральной совокупности. Например, говоря о среднем арифметическом значении какого-либо признака для выборки, мы полагаем, что закономерность будет найдена только в том случае, если мы сумеем на базе выборочного среднего арифметического сделать какие-то выводы о генеральном среднем. Например, мы можем полагать, что найденное выборочное среднее само по себе хорошая оценка генерального. Но обычно такого рода утверждения являются не очень корректными. Оказывается, что можно на основе выборочного среднего по определенным правилам сформировать некое более адекватное (вероятностное) представление о генеральном. Собственно, такого рода формирование и относится к основной задаче математической статистики.»

А зачем? Ещё раз - эта функция тебе ничего не даст. Более того, у тебя каждое изменение (при соблюдении равенства внешних условий чего почти никогда не бывает за исключением простейших логических датчиков да/нет) имеет примерно равную вероятность случится (оставим за скобками механизмы контроля и обратной связи).

Если тебе интересно получить те самые 40 в ответе - строишь модель на конечных автоматах и получаешь искомое.

Ток попробуй)

Надеюсь, применимость теоремы Шэннона-Хартли к предмету обсуждения (деградации журналов) ты не потребуешь доказывать?

неприменимо к вопросу о том от чего зависит деградация логов, мы не обсуждаем вопрос как работать в условиях "шума" в логах

А почему это не обсуждаем? Коллеги вот обсуждают, и вполне интересно. Деградация логов это ни что иное как рост «шума» относительно полезной информации

30 лет назад проблему отвала syslogd решали тем, что он раз в 20 минут в специальную facility логал слово MARK. Его отсутствие можно было детектить, а само сообщение потом выкидывать.

Такой heartbeat не решает всех проблем, но добавляет видимости к самым явным.

btw, вопросы, ответы, подсказки для botsv* прислали:
BOTS Version 1: https://botsdataset.s3.amazonaws.com/bots_questions/botsv1content.zip
BOTS Version 2: https://botsdataset.s3.amazonaws.com/bots_questions/botsv2content.zip
BOTS Version 3: https://botsdataset.s3.amazonaws.com/bots_questions/botsv3content.zip

Коллеги, привет! Вы не сталкивались с ситуацией, когда машинка пользователя проводит Netbios name resolution для подсети? Может ли это быть легитимной активностью в случае например каких то конфигурационных изменений?

вирусов не нашел, ветки реестра вроде чистые

ОС какая? Так то ,если раньше такого не было, проще и лучше тупо перезалить машину, а потом уже клон ковырять если есть время и желание

винда, makes sense, конечно, но без доказательств так сделать не получится)

Если машинка критичная, то лучше перебдеть

Согласен

Паршивый трафик само по себе не доказательство? Сурово у вас

Привет, есть кто использовал wazuh (siem система поверх elk + OSSEC)
Есть пара вопросов, по самому wazuh очень интересно найти тех, кто работал с ним.

Работал, какие есть вопросы?

О супер, я пытаюсь загнать в движок ossec события из различных систем, и использовать его для их обработки. Никаких хостов при этом у меня нет, просто ряд систем (скуды, видеоаналитика, телеметрия и тд)
Я пытаюсь понять, как именно я могу записать самостоятельно свои собственные данные во всю эту машину, и нахожу в доке строчку

Moreover, agentless devices (such as firewalls, switches, routers, access points, etc.) are supported and can actively submit log data via Syslog, SSH, or using their own API

И дальше не слова про

 their own API

нет.

Нашел на схеме что данные принимаются сервером в UDP и это смущает меня, данные важные, продолбать не хочется. Это единственное решение, или я чет не то делаю?