NA
Я аж попкорн просыпал :)
Size: a a a
2021 March 30
NA
Открытость и понятность модели актива - очень старый вопрос
NA
Рано или поздно ПТ придет к тому что в каком-то виде ее придется показать общественности
NA
И с развитием VM этот момент все ближе
RS
И с развитием VM этот момент все ближе
Для VM это не нужно совсем
RS
Для VM это не нужно совсем
Для другой аббревиатуры - необходимо, да
NA
*модель со столь специфичными полями.
Специфические поля потому, что нет готовых учебников, с которых можно взять и списать правильную модель, которая покрыла бы сразу все конфигурации всех источников. Все модели у всех вендоров - результат проб и ошибок.
NA
Для VM это не нужно совсем
Пааажи, не порти мою отмазку. Красиво же расписал.
e
Есть будет 100% модели с разбивкой по классам, то это уменьшит градус горения? Или можно и не делать?
Понятность это всегда +.
Но есть небольшие сомнения, что понимая всю (текущую) модель, уровень горения уменьшится )
ЗЫ
Ни в коем случае не обесцениваю работу по описанию модели актива в понятный для большинства вид. Если вы этим занимаетесь, то точно стоит продолжать - как минимум несколько десятков человек за пределами ПТ будут очень благодарны вам! )
Но есть небольшие сомнения, что понимая всю (текущую) модель, уровень горения уменьшится )
ЗЫ
Ни в коем случае не обесцениваю работу по описанию модели актива в понятный для большинства вид. Если вы этим занимаетесь, то точно стоит продолжать - как минимум несколько десятков человек за пределами ПТ будут очень благодарны вам! )
2021 March 31
AB
у нас есть мечта (с)
мы считаем, что запуск по расписанию вообще будет не нужен
система должна сама создавать и диспатчить задания на сбор данных, основываясь на требованиях к их актуальности и заданным правилам-ограничениям (технологические окна, требования по нагрузке)
мы считаем, что запуск по расписанию вообще будет не нужен
система должна сама создавать и диспатчить задания на сбор данных, основываясь на требованиях к их актуальности и заданным правилам-ограничениям (технологические окна, требования по нагрузке)
У этой далёкой мечты очертания EDR>XDR? или хотя бы SOAR? и если есть планы приоткройте горизонт предполагаемых событий))
GS
Агента в домен!
А если надо с двух и более доменов собирать события?
1 агент = 1 домен?
Или достаточно ввести в любой, а далее разрулить учётными записями?
1 агент = 1 домен?
Или достаточно ввести в любой, а далее разрулить учётными записями?
AM
Gordon Shumway
А если надо с двух и более доменов собирать события?
1 агент = 1 домен?
Или достаточно ввести в любой, а далее разрулить учётными записями?
1 агент = 1 домен?
Или достаточно ввести в любой, а далее разрулить учётными записями?
У меня была беда в том что учётка авторизовалась, но к файлу не пускала. Пока не ввёл в домен ничего не помогало. Хотя пользователь интерактивно все права имел. В вашем случае скорей всего два агента в разных доменах )))
GS
У меня была беда в том что учётка авторизовалась, но к файлу не пускала. Пока не ввёл в домен ничего не помогало. Хотя пользователь интерактивно все права имел. В вашем случае скорей всего два агента в разных доменах )))
Да, у меня сейчас схожая ситуация =)
Спасибо!
Накладно (в плане бюджета) получается иметь несколько доменов =)
Спасибо!
Накладно (в плане бюджета) получается иметь несколько доменов =)
RS
в каких релизах это всё у вас происходит?
GS
конкретно у меня на стадии пилота SIEM (уточнение по 1 агент = 1 домен было для понимания последующих возможностей масштабирования системы).
На текущий момент развернута:
Версия ядра системы: 24.0.3761
Версия MaxPatrol SIEM: 6.1
На текущий момент развернута:
Версия ядра системы: 24.0.3761
Версия MaxPatrol SIEM: 6.1
m
Gordon Shumway
А если надо с двух и более доменов собирать события?
1 агент = 1 домен?
Или достаточно ввести в любой, а далее разрулить учётными записями?
1 агент = 1 домен?
Или достаточно ввести в любой, а далее разрулить учётными записями?
ввод агента в домен вообще не требуется в типичных ситуациях.
Есть журналы для случаев когда сбор не работает?
Есть журналы для случаев когда сбор не работает?
AM
max
ввод агента в домен вообще не требуется в типичных ситуациях.
Есть журналы для случаев когда сбор не работает?
Есть журналы для случаев когда сбор не работает?
Кейс в тп у меня есть по этому случаю
GS
max
ввод агента в домен вообще не требуется в типичных ситуациях.
Есть журналы для случаев когда сбор не работает?
Есть журналы для случаев когда сбор не работает?
Текущая типичная ситуация:
сбор событий с dhcp-сервера под управлением ОС Windows Server.
Сбор событий по smb не работает:
сбор событий с dhcp-сервера под управлением ОС Windows Server.
Сбор событий по smb не работает:
GS
RS
а чего с NTLM на целевой машине?
включен, выключен, уровень?
включен, выключен, уровень?