> Для всех, хостов/ip что обнаружены в событиях или ?

Примерно так. Аналогично из ARP таблиц и т.п. могут быть созданы активы, если аудит.

Просто не для всех компьютеров создались активы.  Не созданы активы для компьютеров которые в «чужом» домене. Соотвественно гадаю то ли это логика работы SIEM то ли у меня на сервере KSC  что то.

если подчиненные серверы не гоняют свои события в центральный, то соответственно инфа об активах не появится

Завтра, проверю, но подчиненные сервера заводились по одному алгоритму.

Ещё вопрос, есть возможность запрета на создание активов из определённой сети? Или необходимо периодически удалять ручками?

Коллеги из ПТ, скажите, пожалуйста, с макросами (которые в ПТКБ) всё норм?
Смущает, что даже в новых системных правилах они не используются (не считая правил на Koadic).

Странно, что тут не было ссылки на новость:
"Новый пакет экспертизы MaxPatrol SIEM помогает обнаружить еще две тактики развития атаки киберпреступниками"
https://www.ptsecurity.com/ru-ru/about/news/novyy-paket-ekspertizy-maxpatrol-siem-pomogaet-obnaruzhit-eshche-dve-taktiki-razvitiya-ataki-kiberprestupnikami/

Hi All, we are seeing MP agent communicating with ip 1.1.1.1 in couple of agents that we are running. is this something normal? the ip 1.1.1.1 is not marked as malicious ip and it belongs to dns service that is owned by cloudflare.. does anyone see this activity or have any insights on why mpsiem agent could need it?

Нет, нельзя запретить активам создаваться (ни выборочно, ни вообще)

можно, но не "искаропки"

Hi!
It used to take place in MaxPatrol8, system checks answers from host, that is 99,9% will be unavailable.
This need to be done to check, whether this request will be redirected anywhere or not.


But that was before 1.1.1.1 became DNS server.
As far as i know, now they use 2.2.2.2

May be, there is the same mechanism in MP SIEM in some checks.

Yes, it is. Mp siem uses the same check. In the last version it was changed to 1.2.3.4
We will manage this to be configurable in the future

Великие люди вебинар смотрят ...

Thank you. What kind of check? Can you give an example?
Is new mp agent use 1.2.3.4?
We have two agents v22 and one v23

Pentest module tries to reach host that doesn't exist using that IP

Есть задача централизации филиалов, на первом этапе централизация антивируса  соответственно если с подчиненных серверов "прилетит" активов быстро выйдем за пределы лицензии.

Заметил пару нюансов работы с ПТКБ в R22:
1. Если изменить содержимое ТС, то в ПТКБ не отображается, что в SIEM установлено неактуальное содержимое ТС. (будет неприятно, если решил установить другой контент, а прилетело ещё и это обновление ТС).
2. Во время установки контента, фронт не отвечает на запросы событий ("Не удается выполнить операцию. Пожалуйста, повторите позднее."). Как только установка завершилось - всё ок.

Это баги или фичи? Обращение в техподдержку нужно оформить?

По первому пункту да. Про второе знаем

Спасибо, напишу обращение.
Роман, а макросы норм? Можно использовать без страха? )

Нужно