В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MaxPatrol SIEM

1009 membersпожаловаться на группу
2020 September 09

AS

Alexander Stepanov in MaxPatrol SIEM
RB
Коллеги, вот сейчас наверное очень глупый вопрос появился. Просканировал заказчик актив профилем Bruteforce PenTest и спрашивает банального - а где результаты посмотреть? Судя по логу модель актива обновляется... Но что именно в карточке искать? Нет возможности простендироваться сейчас по этому вопросу :(
Все результаты отображаются в карточке актива. С помощью шкалы времени можно посмотреть какая там была информация до сканирования и какая стала после.
источник
14:57пожаловаться#1

m

max in MaxPatrol SIEM
Alexander Stepanov
Все результаты отображаются в карточке актива. С помощью шкалы времени можно посмотреть какая там была информация до сканирования и какая стала после.
+ можно посмотреть изменения актива между двумя точками на оси времени
источник
15:00пожаловаться#2

RR

Roman Redikultsev in MaxPatrol SIEM
Roman Sergeev
сделать два инпута
Сделал, но почему-то после применения перекрытия в json остаётся "\\1"

{
   "target_filesystem_type": "WINDOWS",
   "forced_polling": false,
   "inputs": {
       "@GUID": {
           "base_directory": "\\1",
           "encoding": "UTF-8",
           "filename_regex": "(.*)",
           "parser": {
               "plain_parser": {
                   "skip_chunk_by_regex": "(#.+)"
               }
           },
           "reader": {
               "string_reader": {
                   "end_of_line_delimiter": "\r\n"
               }
           },
           "recursion_depth": 1
       },
       "@GUID": {
           "base_directory": "\\2",
           "encoding": "UTF-8",
           "filename_regex": "(.*)",
           "parser": {
               "plain_parser": {
                   "skip_chunk_by_regex": "(#.+)"
               }
           },
           "reader": {
               "string_reader": {
                   "end_of_line_delimiter": "\r\n"
               }
           },
           "recursion_depth": 1
       }
   },
источник
15:30пожаловаться#3

RS

Roman Sergeev in MaxPatrol SIEM
inputs - массив
должны быть квадратные скобки
источник
15:37пожаловаться#4

RR

Roman Redikultsev in MaxPatrol SIEM
Roman Sergeev
inputs - массив
должны быть квадратные скобки
Спасибо, исправлю
источник
15:46пожаловаться#5

IY

Ivan Yakushev in MaxPatrol SIEM
Roman Sergeev
inputs - массив
должны быть квадратные скобки
с квадратными тоже не работает, я по запросу коллеги потестил
возможно, где-то запятую пропустил
источник
15:52пожаловаться#6

IY

Ivan Yakushev in MaxPatrol SIEM
filemonitor.txt
(1.82 Кб)
вот так не принимает
источник
15:59пожаловаться#7

RS

Roman Sergeev in MaxPatrol SIEM
да, я неправ
в разных модулях по разному
где-то inputs массив, а где-то просто объект
источник
16:22пожаловаться#8

RS

Roman Sergeev in MaxPatrol SIEM
тогда получается, что читать из разных папок одним профилем нельзя, если только у них нет общего предка
а чтение из общего предка не всегда годится по соображениям производительности (на эту тему будет небольшая модификация в 23.1)
источник
16:23пожаловаться#9

RS

Roman Sergeev in MaxPatrol SIEM
можно попробовать на источнике симлинками всё вместе собрать, если разрешат
источник
16:24пожаловаться#10

RS

Roman Sergeev in MaxPatrol SIEM
в одном из ближайших релизов проблема должна быть решена
источник
16:26пожаловаться#11

R

RB in MaxPatrol SIEM
Alexander Stepanov
Все результаты отображаются в карточке актива. С помощью шкалы времени можно посмотреть какая там была информация до сканирования и какая стала после.
Спасибо, где искать понял :) Если брутфорс не успешен, то никаких записей об этом не будет, верно?
источник
16:42пожаловаться#12

R

RB in MaxPatrol SIEM
Остальные данные как по скану модулем пентест имеются
источник
16:45пожаловаться#13

R

RB in MaxPatrol SIEM
источник
16:45пожаловаться#14

AS

Alexander Stepanov in MaxPatrol SIEM
RB
Спасибо, где искать понял :) Если брутфорс не успешен, то никаких записей об этом не будет, верно?
да. дополнительно неуспешность брутфорса лучше попробовать по журналу задачи проверить. Точно не знаю логируется ли это, посомтрите в журнале задачи, что-нибудь со словами bruteforce
источник
16:46пожаловаться#15

R

RB in MaxPatrol SIEM
В журнале видно, что подобрать не удалось. Спасибо! :)
источник
16:46пожаловаться#16
2020 September 10

RR

Roman Redikultsev in MaxPatrol SIEM
Всем привет.
Подскажите, как нормализовать время внутри такого json:
{
"sequence_number": 32,
"OccurredAt": "MAR 03 2020 10:13:49.737904",
"Action": "Изменение",
"ObjectType": "Сервер работает в автономном режиме",
"Login": "officer",
"Workstation": "DM",
"ServerId": 1
}
источник
10:26пожаловаться#17

6

640kilobyte in MaxPatrol SIEM
Roman Redikultsev
Всем привет.
Подскажите, как нормализовать время внутри такого json:
{
"sequence_number": 32,
"OccurredAt": "MAR 03 2020 10:13:49.737904",
"Action": "Изменение",
"ObjectType": "Сервер работает в автономном режиме",
"Login": "officer",
"Workstation": "DM",
"ServerId": 1
}
DATETIME_SYSLOG
источник
10:28пожаловаться#18

6

640kilobyte in MaxPatrol SIEM
хотя могу быть не прав - не помню что там год есть в формате
источник
10:29пожаловаться#19

RR

Roman Redikultsev in MaxPatrol SIEM
из-за MAR не нормализует, если поменять на Mar, то все ок
источник
10:35пожаловаться#20