К
Donald
Добрый день! Как рассчитать примерную стоимость?
Добрый. Для этого обратиться к вашему менеджеру от ПТ. Или написать на sales@ptsecurity.com, если такового у вас пока нет.
Size: a a a
2020 October 30
D
Ясно, спасибо, думал есть способ побыстрее
2020 November 01
I
Коллеги, привет!
А есть у кого-то идеи для правил корреляции по событиям от sysmon?
Или, может, даже сами правила? А то мини-творческий кризис и ощущение, что изобретаю велосипед.
А есть у кого-то идеи для правил корреляции по событиям от sysmon?
Или, может, даже сами правила? А то мини-творческий кризис и ощущение, что изобретаю велосипед.
Z
Коллеги, привет!
А есть у кого-то идеи для правил корреляции по событиям от sysmon?
Или, может, даже сами правила? А то мини-творческий кризис и ощущение, что изобретаю велосипед.
А есть у кого-то идеи для правил корреляции по событиям от sysmon?
Или, может, даже сами правила? А то мини-творческий кризис и ощущение, что изобретаю велосипед.
Привет, да там же правил (идей) куча;) тот же дамп lsass
Z
Посмотрите сигма рули
2020 November 02
B
max
win (AIO) - C:\ProgramData\Positive Technologies\MaxPatrol SIEM Server\correlator\logs\correlator.log
Linux - /opt/mpxsiem/log/correlator/logs/correlator.log
Linux - /opt/mpxsiem/log/correlator/logs/correlator.log
а можно ли включить расширенное логирование?
CK
Всем привет! У кого есть формуляр к 23 версии?
К
Она же еще не сертифицирована.
CK
Она же еще не сертифицирована.
Это все меняет, думал уже все, сертифицировали.
К
Это все меняет, думал уже все, сертифицировали.
В процессе...
AS
Barmaley
а можно ли включить расширенное логирование?
Можно, но это делается только по рекомендациям саппорта для диагностики как временная мера, тк это увеличит нагрузку.
В siem.conf в секции logger → level
В siem.conf в секции logger → level
R
Добрый день! Подскажите, пожалуйста, по фильтру в профиле Syslog. Хочу вот пофильтровать события поступающие, но только с одного источника. Завел в inputs еще один блок, но Deny. Получилось как-то так:
{
"action": "Deny",
"encoding": "utf-8",
"priority": 0,
"input_id": "@GUID",
"ip_masks": [
"10.1.1.1"
],
"regex": "/(434004)/"
},
{
"action": "Allow",
"encoding": "utf-8",
"priority": 1,
"input_id": "@GUID",
"ip_masks": [
"0.0.0.0/0"
],
"regex": ""
}
Не работает :( Я что-то делаю не так, это точно. Подскажите, пожалуйста, что именно
{
"action": "Deny",
"encoding": "utf-8",
"priority": 0,
"input_id": "@GUID",
"ip_masks": [
"10.1.1.1"
],
"regex": "/(434004)/"
},
{
"action": "Allow",
"encoding": "utf-8",
"priority": 1,
"input_id": "@GUID",
"ip_masks": [
"0.0.0.0/0"
],
"regex": ""
}
Не работает :( Я что-то делаю не так, это точно. Подскажите, пожалуйста, что именно
R
Или я в принципе не тот функционал использую? Хочется отбивать определенные события приходящие по сислогу с определенного хоста
R
Механика работы Allow в доке расписана, берем всё что соответствует регулярке. Механика Deny, соответственно, обратная, верно? Отбрасываем то, что подходит под регулярку, остальное принимаем
m
RB
Добрый день! Подскажите, пожалуйста, по фильтру в профиле Syslog. Хочу вот пофильтровать события поступающие, но только с одного источника. Завел в inputs еще один блок, но Deny. Получилось как-то так:
{
"action": "Deny",
"encoding": "utf-8",
"priority": 0,
"input_id": "@GUID",
"ip_masks": [
"10.1.1.1"
],
"regex": "/(434004)/"
},
{
"action": "Allow",
"encoding": "utf-8",
"priority": 1,
"input_id": "@GUID",
"ip_masks": [
"0.0.0.0/0"
],
"regex": ""
}
Не работает :( Я что-то делаю не так, это точно. Подскажите, пожалуйста, что именно
{
"action": "Deny",
"encoding": "utf-8",
"priority": 0,
"input_id": "@GUID",
"ip_masks": [
"10.1.1.1"
],
"regex": "/(434004)/"
},
{
"action": "Allow",
"encoding": "utf-8",
"priority": 1,
"input_id": "@GUID",
"ip_masks": [
"0.0.0.0/0"
],
"regex": ""
}
Не работает :( Я что-то делаю не так, это точно. Подскажите, пожалуйста, что именно
без Allow для 10.1.1.1 будут все события дропнуты.
R
А как мне дропнуть часть событий от 10.1.1.1? Или такого нет пока?
RS
правила проверяются в порядке приоритета
соответственно, allow можно поднять выше
соответственно, allow можно поднять выше
R
Ну, оно всё пропускает, но не фильтрует по регулярке
R
Короче как будто не изменял стандартный профиль
m
RB
А как мне дропнуть часть событий от 10.1.1.1? Или такого нет пока?
{
"action": "Deny",
"encoding": "utf-8",
"priority": 0,
"input_id": "@GUID",
"ip_masks": [
"10.1.1.1"
],
"regex": "/(434004)/"
},
{
"action": "Allow",
"encoding": "utf-8",
"priority": 0,
"input_id": "@GUID",
"ip_masks": [
"10.1.1.1"
]
}, {
"action": "Allow",
"encoding": "utf-8",
"priority": 1,
"input_id": "@GUID",
"ip_masks": [
"0.0.0.0/0"
],
"regex": ""
}
"action": "Deny",
"encoding": "utf-8",
"priority": 0,
"input_id": "@GUID",
"ip_masks": [
"10.1.1.1"
],
"regex": "/(434004)/"
},
{
"action": "Allow",
"encoding": "utf-8",
"priority": 0,
"input_id": "@GUID",
"ip_masks": [
"10.1.1.1"
]
}, {
"action": "Allow",
"encoding": "utf-8",
"priority": 1,
"input_id": "@GUID",
"ip_masks": [
"0.0.0.0/0"
],
"regex": ""
}