MG
В любом случае надо допиливать правило под себя 🤷♂
Size: a a a
2021 March 11
MG
Для начала посмотреть event Infected_object_clean, а потом свое событие карантина/дропа - что в нем приходит и почему этого не видно
N
Актуальная новость для тех, кто пользуется NAD Sensor или планирует. Вышла новая версия PT NAD. Обновитесь до 10.1, чтобы:
- видеть информацию об угрозах в одной ленте
- выявлять аномалии с помощью новых модулей аналитики
- собирать данные о сетевых узлах и видеть изменения в них
- определять и разбирать еще больше сетевых протоколов
За подробностями - в обзор релиза на сайте и на вебинар 18 марта
- видеть информацию об угрозах в одной ленте
- выявлять аномалии с помощью новых модулей аналитики
- собирать данные о сетевых узлах и видеть изменения в них
- определять и разбирать еще больше сетевых протоколов
За подробностями - в обзор релиза на сайте и на вебинар 18 марта
ИБ
Всем привет. Вычесываю фолзы, столкнулся с дефолтным правилом из коробки UDP_fragments. Суть в следующем:
- получаю события через netflow с ядер сети (cisco)
- event_src.host во всех случаях один и тот же - настроенный netflow agent cisco (source интерфейс)
- то есть добавление event_src.host = IP или hostname Cisco автоматически добавит весь трафик с нее в исключение
- возможно стоит добавить проверку на наличие в вайтлисте src.host и dst.host (полей в netflow)
- получаю события через netflow с ядер сети (cisco)
- event_src.host во всех случаях один и тот же - настроенный netflow agent cisco (source интерфейс)
- то есть добавление event_src.host = IP или hostname Cisco автоматически добавит весь трафик с нее в исключение
- возможно стоит добавить проверку на наличие в вайтлисте src.host и dst.host (полей в netflow)
RS
Hi, народ у кого есть Cisco ESA последних версий?
а то в комплекте с сиемом правила нормализации под старые версии, syslog у них немного поменялся, кто уже переписывал правила нормализации?
а то в комплекте с сиемом правила нормализации под старые версии, syslog у них немного поменялся, кто уже переписывал правила нормализации?
тикет с примерами событий от новой версии сделайте, пожалуйста
И
Баг или фича? Хочу настроить выпуск отчета по фильтру по всем событиям. В стандартной форме необходимо обязательно выбрать интересующую группу активов, но мне необходим отчет со всех активов (как сгруппированных,так и находящихся в unmanaged hosts). Возможно ли вообще это сделать одним отчетом или придется создавать два отчета? R23.1
SS
Иван
Баг или фича? Хочу настроить выпуск отчета по фильтру по всем событиям. В стандартной форме необходимо обязательно выбрать интересующую группу активов, но мне необходим отчет со всех активов (как сгруппированных,так и находящихся в unmanaged hosts). Возможно ли вообще это сделать одним отчетом или придется создавать два отчета? R23.1
а две группы разве нельзя выбрать?
И
а две группы разве нельзя выбрать?
не дает, либо то,либо другое
SS
Иван
не дает, либо то,либо другое
да, действительно. сейчас попробовал
AR
Иван
Баг или фича? Хочу настроить выпуск отчета по фильтру по всем событиям. В стандартной форме необходимо обязательно выбрать интересующую группу активов, но мне необходим отчет со всех активов (как сгруппированных,так и находящихся в unmanaged hosts). Возможно ли вообще это сделать одним отчетом или придется создавать два отчета? R23.1
я вас огорчу - если к событию не привязаны активы, то вы вообще их в отчет добавить не сможете
AR
по крайней мере так было сколько-то релизов назад
NS
коллеги, добрый день, не поможете советом?
можно ли провести интеграцию между двумя MP SIEM'ами?
я знаю, что странный вопрос, но все же)
можно ли провести интеграцию между двумя MP SIEM'ами?
я знаю, что странный вопрос, но все же)
RS
какую цель вы преследуете?
v
Как ни странно очереди пусты, но в логах нашлось это:
mpx-siem-storage-NotSpecified.log:
PLAIN login refused: user 'mpx_siem' - invalid credentials
2021-01-22 07:26:25.664 [info] <0.23964.5> closing AMQP connection <0.23964.5> (IP:61610 -> IP:5672)
2021-01-22 07:26:32.690 [warning] <0.23973.5> HTTP access denied: user 'mpx_siem' - invalid credentials
2021-01-22 07:26:33.252 [warning] <0.23977.5> HTTP access denied: user 'mpx_siem' - invalid credentials
mpx-siem-storage-NotSpecified.log:
PLAIN login refused: user 'mpx_siem' - invalid credentials
2021-01-22 07:26:25.664 [info] <0.23964.5> closing AMQP connection <0.23964.5> (IP:61610 -> IP:5672)
2021-01-22 07:26:32.690 [warning] <0.23973.5> HTTP access denied: user 'mpx_siem' - invalid credentials
2021-01-22 07:26:33.252 [warning] <0.23977.5> HTTP access denied: user 'mpx_siem' - invalid credentials
Коллеги, кто с таким ещё сталкивался, удалось решить?
NS
Допустим такая ситуация:
при сливании двух организаций
и у одной и у другой сиэм, хотим интегрировать
при сливании двух организаций
и у одной и у другой сиэм, хотим интегрировать
К
Коллеги, у кого-то работает обогащение событий с белыми IP по Country GeoIP на потоке событий >5K EPS?
R23.1 - проверка IP запросом в ТС с функцией in_subnet, в ТС 223К строк.
У меня сейчас ~10К EPS и даже увеличение воркеров для обогатителя не помогает.
R23.1 - проверка IP запросом в ТС с функцией in_subnet, в ТС 223К строк.
У меня сейчас ~10К EPS и даже увеличение воркеров для обогатителя не помогает.
как смотрите в список?
К
и 5к+ - это чисто сетевых событий?
e
как смотрите в список?
select query first
К
select query first
не, сам запрос и структура списка
SR
Допустим такая ситуация:
при сливании двух организаций
и у одной и у другой сиэм, хотим интегрировать
при сливании двух организаций
и у одной и у другой сиэм, хотим интегрировать
Есть возможность объединить сиемы в иерархию