Size: a a a

2020 September 30

Z

Zer🦠way in MaxPatrol SIEM
но плачу😒
источник

e

e6e6e in MaxPatrol SIEM
Zer🦠way
но плачу😒
Песня группировки Ленинград подскажет правильное ударение (оба) =)
источник

Z

Zer🦠way in MaxPatrol SIEM
e6e6e
Песня группировки Ленинград подскажет правильное ударение (оба) =)
)))))
источник

e

e6e6e in MaxPatrol SIEM
Ув эксперты из ПТ, когда в системном контенте появится zerologon? ;)
источник

Z

Zer🦠way in MaxPatrol SIEM
e6e6e
Ув эксперты из ПТ, когда в системном контенте появится zerologon? ;)
выкладывай правило уже)
источник

Z

Zer🦠way in MaxPatrol SIEM
я чет в текучке забыл написать...лол
источник

E

EИ0Ʇ in MaxPatrol SIEM
Zer🦠way
выкладывай правило уже)
на гит
источник

e

e6e6e in MaxPatrol SIEM
Zer🦠way
выкладывай правило уже)
Да там всё изи. Даже на SIGMA уже есть (конечно такоэ, но всё же)
источник

Z

Zer🦠way in MaxPatrol SIEM
e6e6e
Да там всё изи. Даже на SIGMA уже есть (конечно такоэ, но всё же)
да эт понятно, оно по побочкам спалится на secretsdumpе...если будут делать по мануалам. а так вроде брут будет от имени хоста?
источник

e

e6e6e in MaxPatrol SIEM
Zer🦠way
да эт понятно, оно по побочкам спалится на secretsdumpе...если будут делать по мануалам. а так вроде брут будет от имени хоста?
В том числе и брут + атрибуты в аутентификации. Но я просто мимо проходил ;)
источник

Z

Zer🦠way in MaxPatrol SIEM
evtx где то выкладывали....
источник

e

e6e6e in MaxPatrol SIEM
Zer🦠way
evtx где то выкладывали....
Samir, но удалил. Но имея рабочий PoC и уже реализацию в mimi - сгенерить это дело 5 минут.
источник

Z

Zer🦠way in MaxPatrol SIEM
ну да)
источник

e

e6e6e in MaxPatrol SIEM
Но главное это ВНЕДРЯТЬ! =)
источник

П

Пурпурпур in MaxPatrol SIEM
vbengin
Немного не так
"Я (siem) нашел атаку, а теперь твоя очередь работать, иди и устрани последствия. (А ещё на всякий случай проверь кого ещё задело и проведи расследование)
Ору
источник
2020 October 01

И

Иван in MaxPatrol SIEM
Коллеги, подскажите есть ли инструмент (может в ТП) для экспорта и импорта фильтров из одного сиема в другой? И вообще реально ли такое реализовать через api (взяв скрипт для экспорта инцидентов в the hive например)? Могут ли возникнуть проблемы при импорте фильтра с folderId из одного сиема в другой сием, в БД которого нет ещё такого folderId? Может уже кто-то пробовал реализовать такое, подскажите какие есть мысли)
источник

ММ

Максим Максимович... in MaxPatrol SIEM
Иван
Коллеги, подскажите есть ли инструмент (может в ТП) для экспорта и импорта фильтров из одного сиема в другой? И вообще реально ли такое реализовать через api (взяв скрипт для экспорта инцидентов в the hive например)? Могут ли возникнуть проблемы при импорте фильтра с folderId из одного сиема в другой сием, в БД которого нет ещё такого folderId? Может уже кто-то пробовал реализовать такое, подскажите какие есть мысли)
Какое кол-во фильтров? Сейчас это удобней в ручном режиме переносить. Либо через бэкап рестор базы ядра, но это за собой еще кучу всего потянет.
источник

И

Иван in MaxPatrol SIEM
Максим Максимович
Какое кол-во фильтров? Сейчас это удобней в ручном режиме переносить. Либо через бэкап рестор базы ядра, но это за собой еще кучу всего потянет.
>50. Вручную это заполнять фильтр через UI ctrl+c ctrl+v? А скрипт бекапа всю базу дёрнет, это не совсем то, что нужно.
источник

ММ

Максим Максимович... in MaxPatrol SIEM
Иван
>50. Вручную это заполнять фильтр через UI ctrl+c ctrl+v? А скрипт бекапа всю базу дёрнет, это не совсем то, что нужно.
может здесь кто-то подскажет возможно можно часть базы дернуть
источник

e

e6e6e in MaxPatrol SIEM
Максим Максимович
может здесь кто-то подскажет возможно можно часть базы дернуть
Так лучше б через API, чтобы со всякими ID не было проблем. Никто не делал такое?
источник