NA
Напишите, как придумаете. Аж самому интересно стало.
Size: a a a
2021 March 24
RS
Давайте подумаем ;)
И поможем Даше…
Это скрипт где-то на siem server?
Это скрипт где-то на siem server?
RS
Что за антивирус?
🎅L
И поможем Даше…
Это скрипт где-то на siem server?
Это скрипт где-то на siem server?
Скрипт агента. Антивирус Касперского
RS
На винде, соответственно?
К
если мне не изменяет память, то рекомендуется добавить директории агента в исключения в каспере
К
а то он там много вирусов своей евристикой находит
К
впрочем, как и в любых питонных скриптах. например, безобидный скрипт рекурсивного получения пользователей в группе лдап - тоже вирус
К
коллеги из позитива, а подскажите, кому написать, чтобы скрипт суппорту подправили? а то оно на новых версиях не очень-то работает без вмешательства
К
коллеги из позитива, а подскажите, кому написать, чтобы скрипт суппорту подправили? а то оно на новых версиях не очень-то работает без вмешательства
Эм.. В саппорт?
К
Эм.. В саппорт?
увы, это так не работает. ответ в тикете "исправьте, у вас тут косяк закрался" традиционно успешно игнорируется
Л
увы, это так не работает. ответ в тикете "исправьте, у вас тут косяк закрался" традиционно успешно игнорируется
Это очень странно, попробуйте ещё раз написать ну или тикет пришлите
К
Это очень странно, попробуйте ещё раз написать ну или тикет пришлите
окей, попробую.
2021 March 25
В
Коллеги, приветствую! После установки SIEM ver. 23 для высоконагруженных систем, в соответствии с инструкцией по установке, Core не видит Server. Установлены Core, Server, Storage, агент. Установка прошла штатно, без ошибок. Core работает, на него можно заходить, создавать новые БД в Knowledge Base, создавать пользователей в Manager and Configuration, но вот при установке пакета правил появляется ошибка о том, что "SIEM не подключен". Возможно в инструкции по установке не описаны какие то важные моменты, связанные с настройкой Server и Storage (ОС Debian 9.13). Просьба помочь разобраться. Куда копать?
m
Вячеслав
Коллеги, приветствую! После установки SIEM ver. 23 для высоконагруженных систем, в соответствии с инструкцией по установке, Core не видит Server. Установлены Core, Server, Storage, агент. Установка прошла штатно, без ошибок. Core работает, на него можно заходить, создавать новые БД в Knowledge Base, создавать пользователей в Manager and Configuration, но вот при установке пакета правил появляется ошибка о том, что "SIEM не подключен". Возможно в инструкции по установке не описаны какие то важные моменты, связанные с настройкой Server и Storage (ОС Debian 9.13). Просьба помочь разобраться. Куда копать?
В настройках corecfg и kbcfg указан правильный адрес siem server?
В настройках siem server указан правильный адрес storage?
Есть ли доступ с ядра до siem server по порту 8013?
В настройках siem server указан правильный адрес storage?
Есть ли доступ с ядра до siem server по порту 8013?
AS
Вячеслав
Коллеги, приветствую! После установки SIEM ver. 23 для высоконагруженных систем, в соответствии с инструкцией по установке, Core не видит Server. Установлены Core, Server, Storage, агент. Установка прошла штатно, без ошибок. Core работает, на него можно заходить, создавать новые БД в Knowledge Base, создавать пользователей в Manager and Configuration, но вот при установке пакета правил появляется ошибка о том, что "SIEM не подключен". Возможно в инструкции по установке не описаны какие то важные моменты, связанные с настройкой Server и Storage (ОС Debian 9.13). Просьба помочь разобраться. Куда копать?
Добрый день! В инструкции описаны все важные моменты, поэтому если всё сделать в соответствии с рекомендациями, проблем быть не должно.
max уже озвучил основные рекомендации выше. Добавлю только что доступ с Core можно проверить командой telnet ардес 8013.
Как правило ошибка возникает когда забыли открыть сетевые порты или мешает сетевой экран посередине.
Если порт открыт, на стороне SIEM Server через этот порт работает siemserver-frontend.service.
Можно убедиться что сервис запущен и проверить что он пишет в журналы в opt/mpxsiem/logs
max уже озвучил основные рекомендации выше. Добавлю только что доступ с Core можно проверить командой telnet ардес 8013.
Как правило ошибка возникает когда забыли открыть сетевые порты или мешает сетевой экран посередине.
Если порт открыт, на стороне SIEM Server через этот порт работает siemserver-frontend.service.
Можно убедиться что сервис запущен и проверить что он пишет в журналы в opt/mpxsiem/logs
В
После выполнения команды "corecfg get" значение ip адреса Server в параметре "SiemAddress" указано верно. После выполнения команды "kbcfg get" в параметре "SiemAddress" ip адрес Server указан верно.
RS
в интерфейсе попробуйте ещё события посмотреть (ясно, что их нет, но будет ли ошибка?)
и открыть список правил корреляции или табличные списки с той же целью
это, по крайней мере частично, ответит на вопрос о наличии связи Core-SIEM.Frontend
и открыть список правил корреляции или табличные списки с той же целью
это, по крайней мере частично, ответит на вопрос о наличии связи Core-SIEM.Frontend
В
После выполнения команды на Core telnet на ip адрес Server по порту 8013 возникает ошибка "Connect failed"
m
Вячеслав
После выполнения команды "corecfg get" значение ip адреса Server в параметре "SiemAddress" указано верно. После выполнения команды "kbcfg get" в параметре "SiemAddress" ip адрес Server указан верно.
Тогда стоит посмотреть статус suemserver-frontend и его логи.