Z
нолик их редко вайтлистит, нолик бдит
Size: a a a
2021 February 08
E
ну вот пример (а мог бы видео выше посмотреть)
SF
нолик их редко вайтлистит, нолик бдит
Как при большом количестве фолзов бдить?
Z
Как при большом количестве фолзов бдить?
надо переписывать правило которое очень много фолзит
Z
если правило очень много фолзит значит оно плохое)
Z
или просто не подходит под ваши привычные процессы в инфраструктуре
RS
😃опять на нерусском языке
Что такое вайтлист на техническом уровне? not exists query в filter по ТС. Как занести в ТС значения, по которым надо произвести фильтрацию?
Руками. Мучительно копировать значения полей из событий и думать, в какие колонки какого списка их разложить, не надо ли их сперва предварительно преобразовать (lower, etc) и чем заполнять другие колонки того же ТС.
Функциональность упрощения заполнения вайтлистов позволяет вот этот болезненный шаг пройти существенно легче. Если эксперт, который пишет правило, постарается всё это формализовать
Руками. Мучительно копировать значения полей из событий и думать, в какие колонки какого списка их разложить, не надо ли их сперва предварительно преобразовать (lower, etc) и чем заполнять другие колонки того же ТС.
Функциональность упрощения заполнения вайтлистов позволяет вот этот болезненный шаг пройти существенно легче. Если эксперт, который пишет правило, постарается всё это формализовать
e
фича уже заведена
Добрый вечер!
Осторожно поинтересуюсь - есть ли позитивные изменения по этой фиче? :)
Осторожно поинтересуюсь - есть ли позитивные изменения по этой фиче? :)
RS
Добрый вечер!
Осторожно поинтересуюсь - есть ли позитивные изменения по этой фиче? :)
Осторожно поинтересуюсь - есть ли позитивные изменения по этой фиче? :)
Реализовано в 23.1
RS
Про 23 не уверен, release notes под рукой нет
e
Про 23 не уверен, release notes под рукой нет
В R23.0 появилось, я я не заметил...
Из RN:
"В модуле wineventlog добавлена возможность создать дополнительный запрос для
фильтрации событий. Удовлетворяющие этому запросу события отбрасываются из
результатов запроса к журналу источника.
Подробное описание см. в разделах 40.2.3 и 40.4.10 Руководства по настройке источников."
Спасибо! Сейчас проверю фичу.
Из RN:
"В модуле wineventlog добавлена возможность создать дополнительный запрос для
фильтрации событий. Удовлетворяющие этому запросу события отбрасываются из
результатов запроса к журналу источника.
Подробное описание см. в разделах 40.2.3 и 40.4.10 Руководства по настройке источников."
Спасибо! Сейчас проверю фичу.
SF
В R23.0 появилось, я я не заметил...
Из RN:
"В модуле wineventlog добавлена возможность создать дополнительный запрос для
фильтрации событий. Удовлетворяющие этому запросу события отбрасываются из
результатов запроса к журналу источника.
Подробное описание см. в разделах 40.2.3 и 40.4.10 Руководства по настройке источников."
Спасибо! Сейчас проверю фичу.
Из RN:
"В модуле wineventlog добавлена возможность создать дополнительный запрос для
фильтрации событий. Удовлетворяющие этому запросу события отбрасываются из
результатов запроса к журналу источника.
Подробное описание см. в разделах 40.2.3 и 40.4.10 Руководства по настройке источников."
Спасибо! Сейчас проверю фичу.
Кстати, посоветуйте отладчик для XPath выражений) Может кто-нибудь знает сервисы по типу regex101?
RS
Кстати, посоветуйте отладчик для XPath выражений) Может кто-нибудь знает сервисы по типу regex101?
И чтобы сразу кверил лог?
2021 February 09
SF
И чтобы сразу кверил лог?
Было бы неплохо))
ДБ
Коллеги, доброе утро! Подскажите, кто сталкивался с такой ошибкой в работе SIEM (модуль - audit, транспорт - windows audit) при аудите ОС Windows: Error 0x80041003, WBEM_E_ACCESS_DENIED ? Используется учетная запись пользователя без прав администратора. Учетная запись включена в группу "Пользователи DCOM", этой группе выданы права на удаленное подключение и запуск в dcomcnfg.exe, а также права на удаленное включение и выполнение методов на пространства имен через wmimgmt.msc
AS
Денис Балашов
Коллеги, доброе утро! Подскажите, кто сталкивался с такой ошибкой в работе SIEM (модуль - audit, транспорт - windows audit) при аудите ОС Windows: Error 0x80041003, WBEM_E_ACCESS_DENIED ? Используется учетная запись пользователя без прав администратора. Учетная запись включена в группу "Пользователи DCOM", этой группе выданы права на удаленное подключение и запуск в dcomcnfg.exe, а также права на удаленное включение и выполнение методов на пространства имен через wmimgmt.msc
Доброе утро!
Диагностика по этой ошибке присутствует в документе "Диагностика подключения к службе WMI
сканируемого узла"
Посмотреть документ можно по ссылке после авторизации на портале поддержки: https://support.ptsecurity.com/index.php?/Knowledgebase/Article/View/204/32/windows-diagnostika-podklyucheniya-k-sluzhbe-wmi-skaniruemogo-uzla
Диагностика по этой ошибке присутствует в документе "Диагностика подключения к службе WMI
сканируемого узла"
Посмотреть документ можно по ссылке после авторизации на портале поддержки: https://support.ptsecurity.com/index.php?/Knowledgebase/Article/View/204/32/windows-diagnostika-podklyucheniya-k-sluzhbe-wmi-skaniruemogo-uzla
MG
Коллеги, добрый день. В документации к VM указано, что продукт можно пощупать на базе уже развернутого сием, активировав лицензию. Это для какого релиза сиема актуально?
MG
Mp 10 core - получается сием версии 24?
RS
Коллеги, добрый день. В документации к VM указано, что продукт можно пощупать на базе уже развернутого сием, активировав лицензию. Это для какого релиза сиема актуально?
24, да