Size: a a a

2020 September 07

K

KyKyLLIoHoK in MaxPatrol SIEM
Roman
Да, они самые
по умолчанию зашито ограничение в 4 задачи, использующие данный модуль. Можно править в конфиге, но ТП открещивается от подтверждения корректной работы.
Соответственно, если для каждого exchange вешать две задачи (одна на сбор событий входа в почтовые ящики, вторая на сбор информации о действиях пользователей), то два сервера Exchange можно подключить без правки конфига.
Но скрипты имеют пару подводных камней (в ласт релизе может уже поправили, но на R22 ловим активно), которые корректно работать скриптам не дают)

В общем - если нужно, найду, что за конфиг)
источник

R

Roman in MaxPatrol SIEM
Благодарю!
источник

DD

Denis David in MaxPatrol SIEM
Коллеги, подскажите, можно ли как то удалить, Активы не через ВЕБ?
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
Психанул… Не приходя в сознание пильнул скрипт, который немного помогает понять какие типы объектов в каких полях лежат (в привязке к категории событий)
Принцип работы:
1.  Перебирает все formula.xp в заданной директории.
2.  В тексте формул пытается найти нужный тип объекта (ip, domain, hash, registry, path, email). В основном все работает благодаря тому, что ребята из PT в каждой формуле добавляют примеры событий.
3.  Если найти удалось: Запоминает event_src.category, путь до формулы.
4.  Проверяет, используются ли в этой формуле ожидаемые поля, где данный тип объекта может лежать.
5.  Если тип объекта найден и в формуле используются ожидаемые поля, выводит BASE_FIELDS_FOUND. Если объект найден, но поля не используются, видимо этот тип объекта лежит в каких-то еще полях, или вовсе не нормализован. В таком случае выводит в NO_BASE_FIELDS.
6.  В конце выводит статистику по тому сколько формул и в какой категории событий нашлось.
Чтоб заработало надо:
1.  Сделать выгрузку нормализации от PT из PT KB
2.  В начале кода поменять OBJECT_TYPE
3.  Указать в FORMULAS_DIR путь до normalization-formulas\formulas из экспортированного архива.
Скрипт поставляется as-is без гарантий и доработок. Скрипт более-мене детектит ip, hash, email, отвратно детектит domain (все сводится к получению категорий, где используются поля fqdn) и еще более отвратно path.
Зачем нужен этот говнокод - чтобы меньше лопатить руками формулы.
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
источник
2020 September 08

6

640kilobyte in MaxPatrol SIEM
Nikolai Arefiev
Психанул… Не приходя в сознание пильнул скрипт, который немного помогает понять какие типы объектов в каких полях лежат (в привязке к категории событий)
Принцип работы:
1.  Перебирает все formula.xp в заданной директории.
2.  В тексте формул пытается найти нужный тип объекта (ip, domain, hash, registry, path, email). В основном все работает благодаря тому, что ребята из PT в каждой формуле добавляют примеры событий.
3.  Если найти удалось: Запоминает event_src.category, путь до формулы.
4.  Проверяет, используются ли в этой формуле ожидаемые поля, где данный тип объекта может лежать.
5.  Если тип объекта найден и в формуле используются ожидаемые поля, выводит BASE_FIELDS_FOUND. Если объект найден, но поля не используются, видимо этот тип объекта лежит в каких-то еще полях, или вовсе не нормализован. В таком случае выводит в NO_BASE_FIELDS.
6.  В конце выводит статистику по тому сколько формул и в какой категории событий нашлось.
Чтоб заработало надо:
1.  Сделать выгрузку нормализации от PT из PT KB
2.  В начале кода поменять OBJECT_TYPE
3.  Указать в FORMULAS_DIR путь до normalization-formulas\formulas из экспортированного архива.
Скрипт поставляется as-is без гарантий и доработок. Скрипт более-мене детектит ip, hash, email, отвратно детектит domain (все сводится к получению категорий, где используются поля fqdn) и еще более отвратно path.
Зачем нужен этот говнокод - чтобы меньше лопатить руками формулы.
А можно для тупеньких - зачем?
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
А я ж писал выше. Мне надо было точно узнать в каких полях лежат Ип, домены и т.д. чтоб потом их тягать в ретро
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
сказать что ИП лежат только в src.ip и dst.ip - не верно :) так же как и с доменами в .fqdn :)
источник

6

640kilobyte in MaxPatrol SIEM
поятненько
источник

6

640kilobyte in MaxPatrol SIEM
одино вопрос из области "я диванный разработчик", но раз есть примеры входных, то не проще через sdk прогнать поставляемые сэмплы и посмотреть что в выходном json'е?
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
ну вот я прогнал, как искать в каком поле домен лежит?
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
тыкнуться регуляркой в каждое поле, пока не сматчится?
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
Ну это не так далеко от моего подхода + надо еще sdk вплетать
источник

6

640kilobyte in MaxPatrol SIEM
если получаем сэмплы, то ищем самыое жирно похожее на fqdn (host.foo.bar.local), разбиваем его по уровням выше (foo.bar.local, bar.local, local) и ищем это в входе (там может быть явно домен быть в событии чтобы точность обнаружения при сравнении далее повымить) и в выхлопе
источник

6

640kilobyte in MaxPatrol SIEM
если на выходе и выхлопе совпало - точно домен, если только на выхлопе возможно домен
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
Да, тоже подход, он даже будет точнее моего :) но я уже переделывать не буду ))))
источник

6

640kilobyte in MaxPatrol SIEM
Nikolai Arefiev
Ну это не так далеко от моего подхода + надо еще sdk вплетать
sdk просто позволить гарантировать что это переносимо между версиями на случай если сиемоцы опять что-то намутят
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
Давным давно, когда деревья были большие, рядом с SDK валялись сэмплы как исходных, так и уже нормализованных событий
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
но потом что-то пошло не так
источник

6

640kilobyte in MaxPatrol SIEM
протом пришел ptkb, где отдельной загруки сэмплов не предусмотренно
источник