Телеграмм чат группы MPSIEMChat страница 1235

Roman Sergeev

Больше на баг похоже. Так себя ведёт агент, установленный на WEC?

WEC на агенте. Видимо, он так себя ведёт =)
Хорошо бы там видеть внешний IP агента или хотя бы 127.0.0.1

14:30пожаловаться #1

Л

Летающий вирус... in MaxPatrol SIEM & VM

Добрый день!
На картинке скрин из карточки инцидента. К инциденту фактически привязано ~50 событий (они видны, если перейти на вкладку "События").
Вопросы:
1. Это бага или фича?
2. Как можно отвязать события от инцидента, которые не отображаются в карточке инцидента? (опять через API?)

Любые баги - это фичи

14:31пожаловаться #2

RS

Roman Sergeev in MaxPatrol SIEM & VM

По идее, с WEC это вообще не связано. Агент может с самого себя события читать. Проверим

14:32пожаловаться #3

e

Летающий вирус

Любые баги - это фичи

За доп плату =)

14:33пожаловаться #4

m

max in MaxPatrol SIEM & VM

WEC на агенте. Видимо, он так себя ведёт =)
Хорошо бы там видеть внешний IP агента или хотя бы 127.0.0.1

127.0.0.1 как раз, наверно, не очень информативно будет.

14:33пожаловаться #5

К

Капибара in MaxPatrol SIEM & VM

Добрый день!
На картинке скрин из карточки инцидента. К инциденту фактически привязано ~50 событий (они видны, если перейти на вкладку "События").
Вопросы:
1. Это бага или фича?
2. Как можно отвязать события от инцидента, которые не отображаются в карточке инцидента? (опять через API?)

А если тыкнуть на кнопку "показать все 10 событий"? :)

14:40пожаловаться #6

e

Капибара

А если тыкнуть на кнопку "показать все 10 событий"? :)

Там 10 событий, а не 50.

14:40пожаловаться #7

К

Капибара in MaxPatrol SIEM & VM

Там 10 событий, а не 50.

А если еще раз тыкнуть?

14:41пожаловаться #8

RS

Roman Sergeev in MaxPatrol SIEM & VM

Там 10 событий, а не 50.

HAR пришли, пожалуйста.

14:41пожаловаться #9

e

Капибара

А если еще раз тыкнуть?

"Ещё раз" некуда тыкать =)

14:42пожаловаться #10

e

Roman Sergeev

HAR пришли, пожалуйста.

Через час в ЛС. Спасибо!

14:42пожаловаться #11

К

Капибара in MaxPatrol SIEM & VM

"Ещё раз" некуда тыкать =)

Хех, не прокатило. Мне встречался похожий баг, когда написано было "все десять событий", ты тыкал - и подгружались все, а не только 10

14:43пожаловаться #12

v

Ну и ещё небольшой вопрос - если события собираются с Windows EventLog Collector, который запущен на агенте MP SEIM, то в событиях не проставляется recv_ipv4, это бага или фича?

А у меня вот наоборот, в событиях проставляется recv_ipv4, и не заменяется на fqdn, и в активах есть 2 разных карточки - wec сервер по fqdn, и wec-сервер по ip, в одну не собираются...

14:46пожаловаться #13

v

давным давно специально делал скан по wec серверам, думал собирутся в одну - не вышло

14:47пожаловаться #14

v

и не очень удобно когда группируешь события по точке сбора, приходится группировать по recv_ip, и потом сидеть с табличкой сравнивать - что с какого wec

14:48пожаловаться #15

e

virars

А у меня вот наоборот, в событиях проставляется recv_ipv4, и не заменяется на fqdn, и в активах есть 2 разных карточки - wec сервер по fqdn, и wec-сервер по ip, в одну не собираются...

А у вас подписки с "инициируется исходным ПК" или "инициируется сборщиком"?

14:50пожаловаться #16

RS

Roman Sergeev in MaxPatrol SIEM & VM

А у вас подписки с "инициируется исходным ПК" или "инициируется сборщиком"?

а это влияет на вид события?

14:50пожаловаться #17

v