Size: a a a

2020 September 08

NA

Nikolai Arefiev in MaxPatrol SIEM
Alexander Stepanov
Так мы с тобой договаривались) наверное ты знал!
Так не честно... Нормально же общались, что началось..
источник

Ю

Юра in MaxPatrol SIEM
Коллеги, столкнулись с такой проблемой - из-за кривого скана добавились +5к хостов в активы, эти хосты были удалены в ручном режиме, после этого перестали нормально работать задачи на сбор активов, хосты просто не появляется, хотя задача (судя по логам) проходит нормально. В дашбордах пишет, что в сием +5к хостов остались, но в активах их нет. Удаление "инфраструктуры" тоже ничего не дало, просто удалились все хосты из активов, но новые не добавляются. Вопрос - как полностью очистить информацию об активах или в каких логах найти инфу почему такое происходит?
источник

AS

Alexander Stepanov in MaxPatrol SIEM
Nikolai Arefiev
Так не честно... Нормально же общались, что началось..
Ну а больше никто по крайней мере ко мне с такими кейсами не приходил. Поэтому видимо приоритет доработки низкий. Непонятно кому оно надо и на сколько сильно. Несите кейсы!
источник

RS

Roman Sergeev in MaxPatrol SIEM
Юра
Коллеги, столкнулись с такой проблемой - из-за кривого скана добавились +5к хостов в активы, эти хосты были удалены в ручном режиме, после этого перестали нормально работать задачи на сбор активов, хосты просто не появляется, хотя задача (судя по логам) проходит нормально. В дашбордах пишет, что в сием +5к хостов остались, но в активах их нет. Удаление "инфраструктуры" тоже ничего не дало, просто удалились все хосты из активов, но новые не добавляются. Вопрос - как полностью очистить информацию об активах или в каких логах найти инфу почему такое происходит?
логи ассет процессинга посмотрите
источник

AS

Alexander Stepanov in MaxPatrol SIEM
Юра
Коллеги, столкнулись с такой проблемой - из-за кривого скана добавились +5к хостов в активы, эти хосты были удалены в ручном режиме, после этого перестали нормально работать задачи на сбор активов, хосты просто не появляется, хотя задача (судя по логам) проходит нормально. В дашбордах пишет, что в сием +5к хостов остались, но в активах их нет. Удаление "инфраструктуры" тоже ничего не дало, просто удалились все хосты из активов, но новые не добавляются. Вопрос - как полностью очистить информацию об активах или в каких логах найти инфу почему такое происходит?
Лучше сразу в техподдержку. Нужно изучать все журналы по активам. Если активы вообще не создаются, не удаляются даже вручную, то либо есть огромная очередь сканов на обработку либо где-то при обработке возникла ошибка. Нужно смотреть журналы и искать причины создания большого числа активов.
источник

Ю

Юра in MaxPatrol SIEM
источник

Ю

Юра in MaxPatrol SIEM
Чет я даже открывать это не хочу))
источник

AS

Alexander Stepanov in MaxPatrol SIEM
Юра
Коллеги, столкнулись с такой проблемой - из-за кривого скана добавились +5к хостов в активы, эти хосты были удалены в ручном режиме, после этого перестали нормально работать задачи на сбор активов, хосты просто не появляется, хотя задача (судя по логам) проходит нормально. В дашбордах пишет, что в сием +5к хостов остались, но в активах их нет. Удаление "инфраструктуры" тоже ничего не дало, просто удалились все хосты из активов, но новые не добавляются. Вопрос - как полностью очистить информацию об активах или в каких логах найти инфу почему такое происходит?
полностью активы чистят через создание групп ненужных активов и комбинации клавиш ctrl+a и кнопку удалить. Так можно штук по 100-500 за итерацию достаточно быстро очистить
источник

Ю

Юра in MaxPatrol SIEM
Alexander Stepanov
Лучше сразу в техподдержку. Нужно изучать все журналы по активам. Если активы вообще не создаются, не удаляются даже вручную, то либо есть огромная очередь сканов на обработку либо где-то при обработке возникла ошибка. Нужно смотреть журналы и искать причины создания большого числа активов.
Как-то можно очистить очередь сканов?
источник

AS

Alexander Stepanov in MaxPatrol SIEM
Юра
Как-то можно очистить очередь сканов?
Неа. Но есть способ определить её наличие и понять идёт ли обработка сканов. В первую очередь советую посомтреть крайнюю дату обновления актива (самого свежего). И посмотреть меняется ли она со временем
источник

Ю

Юра in MaxPatrol SIEM
Как я говорил раньше - хостов в активах сейчас нет, но они есть в дашборде и пишет, что они есть когда жмешь ctrl+enter в свойствах группы активов
источник

AS

Alexander Stepanov in MaxPatrol SIEM
Юра
Как я говорил раньше - хостов в активах сейчас нет, но они есть в дашборде и пишет, что они есть когда жмешь ctrl+enter в свойствах группы активов
Если актив даже вручную сейчас создать не получается, то нужно смотреть по журналам что пошло не так. Без обращения в техподдержку тут не разобраться
источник

Ю

Юра in MaxPatrol SIEM
Ок, спасибо
источник

М_

Михаил _ in MaxPatrol SIEM
Alexander Stepanov
полностью активы чистят через создание групп ненужных активов и комбинации клавиш ctrl+a и кнопку удалить. Так можно штук по 100-500 за итерацию достаточно быстро очистить
А как то можно автоматизировать этот процесс? Группа с ненужными активами создана, но каждый день по несколько раз чистить вручную не особо удобно.
источник

AS

Alexander Stepanov in MaxPatrol SIEM
Михаил _
А как то можно автоматизировать этот процесс? Группа с ненужными активами создана, но каждый день по несколько раз чистить вручную не особо удобно.
А откуда берутся эти ненужные активы и сколько их? Я считаю что именно эту проблему надо искоренять, а не чисткой заниматься
источник

EP

Eugene P in MaxPatrol SIEM
Alexander Stepanov
А откуда берутся эти ненужные активы и сколько их? Я считаю что именно эту проблему надо искоренять, а не чисткой заниматься
И что такое ненужные активы? Откуда они появляются? Чем мешают? Попутный вопрос - как у вас организована группировка активов (как используются группы)?
источник

М_

Михаил _ in MaxPatrol SIEM
Активы берутся скорей всего из событий Касперского. На главный сервер "прилетает" с подчиненных.
источник

М_

Михаил _ in MaxPatrol SIEM
Главное чем мешают, за пределы лицензии выходим.
источник

М_

Михаил _ in MaxPatrol SIEM
Основная группировка активов по сетям, плюс по функционалу (контроллеры домена, сервера..)
источник

AS

Alexander Stepanov in MaxPatrol SIEM
Михаил _
Активы берутся скорей всего из событий Касперского. На главный сервер "прилетает" с подчиненных.
Активы действительно могут создаваться и обновляться из событий касперского. Как много "лишних активов" создаётся?
источник