Size: a a a

2020 August 28

И

Иван in MaxPatrol SIEM
640kilobyte
Постгресс перегрузите
попробовал, не помогло, создал тикет.
источник

RS

Roman Sergeev in MaxPatrol SIEM
надо бы понять, что с постгресом
состояние баз надо понять
источник

И

Иван in MaxPatrol SIEM
есть какие то инструкции как это сделать?
источник

AN

Alexey Nikolaev in MaxPatrol SIEM
Добрый день!
Имеется тестовый стенд состоящий из SIEM (all in one), Windows 7 и ALT Linux.
1) Подскажите, пожалуйста, правильно ли я понимаю, что инциденты в таком наполнении тестового стенда я смогу создавать лишь в ручную, выбирая события и добавляя их к инциденту?
2) Пробовал проводить сетевое сканирование хоста Windows при помощи nmap, но в SIEM инцидент не появился, да и событий по этому поводу никаких не увидел. Правильно же понимаю что в тестовый стенд нужно добавить IDS/IPS и с него собирать события, чтобы в SIEM автоматически сгенерировался инцидент сетевого сканирования хоста?
источник

AS

Alexander Stepanov in MaxPatrol SIEM
Alexey Nikolaev
Добрый день!
Имеется тестовый стенд состоящий из SIEM (all in one), Windows 7 и ALT Linux.
1) Подскажите, пожалуйста, правильно ли я понимаю, что инциденты в таком наполнении тестового стенда я смогу создавать лишь в ручную, выбирая события и добавляя их к инциденту?
2) Пробовал проводить сетевое сканирование хоста Windows при помощи nmap, но в SIEM инцидент не появился, да и событий по этому поводу никаких не увидел. Правильно же понимаю что в тестовый стенд нужно добавить IDS/IPS и с него собирать события, чтобы в SIEM автоматически сгенерировался инцидент сетевого сканирования хоста?
Что такое "инцидент" в вашем понимании?

В SIEM инцидент создаётся из события или целой группы событий по правилу корреляции. Соответственно к нему будут подвязаны все события из которых инцидент был создан. Для этого нужно настроить сбор с данных узлов и ждать когда там что-то произойдёт.

Но чтобы что-то настроить и ждать нужно понять что siem вообще умеет собирать и коррелировать: для этого смотрите подержанные источники в refguide и смотрите какие формулы корреляции есть в правилах knowledge base
источник

Z

Zer🦠way in MaxPatrol SIEM
Alexey Nikolaev
Добрый день!
Имеется тестовый стенд состоящий из SIEM (all in one), Windows 7 и ALT Linux.
1) Подскажите, пожалуйста, правильно ли я понимаю, что инциденты в таком наполнении тестового стенда я смогу создавать лишь в ручную, выбирая события и добавляя их к инциденту?
2) Пробовал проводить сетевое сканирование хоста Windows при помощи nmap, но в SIEM инцидент не появился, да и событий по этому поводу никаких не увидел. Правильно же понимаю что в тестовый стенд нужно добавить IDS/IPS и с него собирать события, чтобы в SIEM автоматически сгенерировался инцидент сетевого сканирования хоста?
ААААААААААААА.
источник

Z

Zer🦠way in MaxPatrol SIEM
нет
источник

Z

Zer🦠way in MaxPatrol SIEM
вы собираете события?
источник

Z

Zer🦠way in MaxPatrol SIEM
с хоста windows, сетевого оборудования, устройств сканирование которых производилось?
источник

Z

Zer🦠way in MaxPatrol SIEM
1) сбор событий 2) корреляции по которым будут создаваться инциденты
источник

AS

Alexander Stepanov in MaxPatrol SIEM
Тоже была такая первая реакция)
источник

Z

Zer🦠way in MaxPatrol SIEM
сам по себе сием это сборщик, агрегатор, коррелятор событий, чудес там нет.
источник

Z

Zer🦠way in MaxPatrol SIEM
и на правила из коробки надеяться тоже не надо, инциденты будут создаваться только по тому чему вы его научите сами.
источник

Z

Zer🦠way in MaxPatrol SIEM
все остальное тлен и вранье продаванов))
источник

Z

Zer🦠way in MaxPatrol SIEM
Alexander Stepanov
Тоже была такая первая реакция)
😁я чуть ли не вслух
источник

A

Anryal in MaxPatrol SIEM
Zer🦠way
и на правила из коробки надеяться тоже не надо, инциденты будут создаваться только по тому чему вы его научите сами.
Сейчас обидно было
источник

Z

Zer🦠way in MaxPatrol SIEM
Anryal
Сейчас обидно было
ну это логично)
источник

AS

Alexander Stepanov in MaxPatrol SIEM
+
мы тут денно и ночно пакеты экспертизы пилим.
А он "вранье продаванов"
источник

Z

Zer🦠way in MaxPatrol SIEM
Alexander Stepanov
+
мы тут денно и ночно пакеты экспертизы пилим.
А он "вранье продаванов"
вранье вранье) за это я их и не люблю
источник

Z

Zer🦠way in MaxPatrol SIEM
пакеты экспертизы не могут быть универсальными, кейсы разные у всех как и виденье что нужно детектить и как
источник