VS
Коллеги, привет!
Может ли быть печальный исход, если агента привязать к коре без ввода в домен, а ввести позже?
Может ли быть печальный исход, если агента привязать к коре без ввода в домен, а ввести позже?
Size: a a a
2021 February 01
S
относится, это он и есть
еще раз пересмотрел.
вот уже Событие с кореляцией.
и тут нет кнопки "Добавить в исключение"
вот уже Событие с кореляцией.
и тут нет кнопки "Добавить в исключение"
RS
могло быть так, что вы до 23 обновились, а пак "Linux. Подозрительная сетевая активность" не переустановили?
S
могло быть так, что вы до 23 обновились, а пак "Linux. Подозрительная сетевая активность" не переустановили?
да вроде как все паки переустанавливал.
S
могло быть так, что вы до 23 обновились, а пак "Linux. Подозрительная сетевая активность" не переустановили?
или например узел на Windows.
аналогично нет кнопки исключения
аналогично нет кнопки исключения
S
Поробовать еще раз переустановить паки?
RS
для начала посмотрите в сием на список Auditd_reverse_shell_whitelist
в нём что-то есть?
в нём что-то есть?
S
для начала посмотрите в сием на список Auditd_reverse_shell_whitelist
в нём что-то есть?
в нём что-то есть?
Есть кое что
S
для начала посмотрите в сием на список Auditd_reverse_shell_whitelist
в нём что-то есть?
в нём что-то есть?
S
для начала посмотрите в сием на список Auditd_reverse_shell_whitelist
в нём что-то есть?
в нём что-то есть?
S
вероятно что то сам напутал.
еще раз обновил пакеты.
перезапустил сбор событий.
посмотрю как будет обрабатываться
еще раз обновил пакеты.
перезапустил сбор событий.
посмотрю как будет обрабатываться
RS
Sergey
Есть кое что
это системный контент, он и должен быть
S
это системный контент, он и должен быть
еще раз...
пакеты были обновлены.
сбор событий перезапустил.
вот свежий сбор.
пакеты были обновлены.
сбор событий перезапустил.
вот свежий сбор.
RS
Sergey
а вот на этой картинке повыше написано "Исключения из правила "Detect_run_reverse_shell_by_something"?
S
а вот на этой картинке повыше написано "Исключения из правила "Detect_run_reverse_shell_by_something"?
не вижу в упор, если что...
RS
Sergey
не вижу в упор, если что...
не, другая картинка
интерфейс отображения списка в SIEM
интерфейс отображения списка в SIEM
S
не, другая картинка
интерфейс отображения списка в SIEM
интерфейс отображения списка в SIEM
табличный список Auditd_reverse_shell_whitelist ?
RS
Sergey
табличный список Auditd_reverse_shell_whitelist ?
да
S
S
