🎅L
Уже связался. Перед заказчиками стыдно
Size: a a a
2021 February 04
🎅L
Демостенды? О чем речь?
Стенд с сиемкой для демонстрации заказчикам или обучения их
VV
Приветствую! Был ли у вас опыт парсинга журналов регистрации 1С в siem?
RS
Приветствую! Был ли у вас опыт парсинга журналов регистрации 1С в siem?
есть же нормализации в системных паках?
VV
но новый формат не читает, к сожалению
S
Коллеги, день добрый.
Подскажите пож-ста, в siem можно сделать диф отчет по уязвимостям, как в mp8?
Подскажите пож-ста, в siem можно сделать диф отчет по уязвимостям, как в mp8?
2021 February 05
SP
Добрый день
Объясните чем {
"file": "System",
"query": "*[System[(EventID=12 or (EventID >= 19 and EventID <= 23) or EventID=104 or EventID=1074 or EventID=4826 or EventID=6009 or (EventID >= 7000 andEventID <= 7045))]]"
}
отличается от
{
"file": "System",
"query": "*"
},
В первом случае фильтр на несколько событий, во втором на все события?
Объясните чем {
"file": "System",
"query": "*[System[(EventID=12 or (EventID >= 19 and EventID <= 23) or EventID=104 or EventID=1074 or EventID=4826 or EventID=6009 or (EventID >= 7000 andEventID <= 7045))]]"
}
отличается от
{
"file": "System",
"query": "*"
},
В первом случае фильтр на несколько событий, во втором на все события?
IY
Добрый день
Объясните чем {
"file": "System",
"query": "*[System[(EventID=12 or (EventID >= 19 and EventID <= 23) or EventID=104 or EventID=1074 or EventID=4826 or EventID=6009 or (EventID >= 7000 andEventID <= 7045))]]"
}
отличается от
{
"file": "System",
"query": "*"
},
В первом случае фильтр на несколько событий, во втором на все события?
Объясните чем {
"file": "System",
"query": "*[System[(EventID=12 or (EventID >= 19 and EventID <= 23) or EventID=104 or EventID=1074 or EventID=4826 or EventID=6009 or (EventID >= 7000 andEventID <= 7045))]]"
}
отличается от
{
"file": "System",
"query": "*"
},
В первом случае фильтр на несколько событий, во втором на все события?
Если коротко, то да
IY
В первом случае на конкретные eventid журнала, во втором все события журнала
SP
Так и думал, спасибо
2021 February 08
SP
Добрый день
Такой вопрос, настроил политику аудита на сервере (аудит создания процессов, powershell итд)
Стали сыпаться события по типу "создан новый процесс cmd.exe" (создаёт система), или обращение в файлу реестра (также обращается система), сием распознает это как rubeus и высерает кучу инцидентов
Какие произвести настройки, чтобы мне не прилетали события, в которых фигурирует системный пользователь?
Такой вопрос, настроил политику аудита на сервере (аудит создания процессов, powershell итд)
Стали сыпаться события по типу "создан новый процесс cmd.exe" (создаёт система), или обращение в файлу реестра (также обращается система), сием распознает это как rubeus и высерает кучу инцидентов
Какие произвести настройки, чтобы мне не прилетали события, в которых фигурирует системный пользователь?
RS
Смотрите на правило, которое вам это генерирует. Оно системное?
SP
Да, у меня ничего самописного пока нет
RS
Название правила?
SP
Detect_Rubeus в основном
RS
На алерте (в браузере событий) кнопка "добавить исключение" доступна?
SP
Для меня тупого, можно чуть поподробнее, куда посмотреть?
AS
Для меня тупого, можно чуть поподробнее, куда посмотреть?
Можете ознакомиться с подробным роликом по данному функционалу https://youtu.be/Ei5exdhYqjI
SP
Спасибо
AS
пример скрина с кнопкой из этого видео