v
А кто-нибудь подключал Check Point через log_exporter?
Size: a a a
2020 July 24
m
А можно вот это поподробнее? Заказчик написал, что MDS, это меняет дело?
DN сертификата будет отличаться от CN=cp_mgmt и потребуется явное указание SERVER SIC
v
ну у меня они и так отличаются..
2020 July 25
Y
А кто-нибудь подключал Check Point через log_exporter?
Я
Y
Тоже с opsec трахался, потом поставил log_explorer и забыл про проблемы
Y
По syslog_ng принимаю на siem, только siem у меня не MP
v
По syslog_ng принимаю на siem, только siem у меня не MP
Ну вот я вчера попробовал log_exporter, на нем настаивал заказчик изначально, но MP Siem не воспринимает эти логи :(
v
Нашёл 6 формул нормализации, но из 10кк событий ни одно не подошло
v
Пробовал в формате syslog, пробовал в json
Y
Попробуй cef
2020 July 27
v
А?
A
да
N
Всем любителям и интересующимся Threat Hunting посвящается: наш коллега из PT ESC рассмотрел 2 гипотезы о компрометации сети, которые проверил с помощью связки MaxPatrol SIEM + PT NAD: https://habr.com/ru/company/pt/blog/510362/
v
Коллеги, чекпоинт удалось подключить по OPSEC, но после подключения очень странно парсятся события, у всех так?
v
v
как будто в адресате заиты wildcard маски, хотя формулы из коробки
A
как будто в адресате заиты wildcard маски, хотя формулы из коробки
а в исходных событияx какие адреса ?
Z
а в исходных событияx какие адреса ?
+
v
как я заметил, в event.src.host попадают значения поля "orig"
значения там такие же
значения там такие же