К
это чат поибэ...
Текущая типичная ситуация:
сбор событий с dhcp-сервера под управлением ОС Windows Server.
Сбор событий по smb не работает:
Size: a a a
2021 March 31
RS
Gordon Shumway
Исправление вошло в ближайший релиз 24. До того предоставляется по запросу через ТП
GS
Исправление вошло в ближайший релиз 24. До того предоставляется по запросу через ТП
Благодарю!
2021 April 01
V
Добрый день коллеги! Такой вопрос: необходимо настроить сбор событий с межсетевых экранов предприятия, и для этого по инструкции нужно настроить правила в МЭ разрешающие трафик между узлом и агентом в направлении источника по порту TCP 18184. Но ситуация в том, что сервера журналирования Check Point находятся в другой организации и в другом городе со своим МЭ. И меня терзают сомнения, что настройка только по инструкции по подключению источников не поможет😄или для SIEM агента не важно, где именно находятся сервера журналирования?
V
И хватает ли одного TCP порта в направлении источника для сбора логов?
AM
Коллеги, а как сделать так чтобы NAD проходящие UA не привязывал к активам проксей? А то к меня на активе 61 тысяча уязвимостей браузеров получилась
AM
Коллеги, а как сделать так чтобы NAD проходящие UA не привязывал к активам проксей? А то к меня на активе 61 тысяча уязвимостей браузеров получилась
К активам в SIEM
AM
Коллеги, добрый день!
Я верно понимаю, что если потребуется больше места под elastic, то мы просто можем выполнить процедуру "Изменение конфигурации компонентов
MP SIEM Server и MP SIEM Events Storage на Debian" и все будет ок?
Я верно понимаю, что если потребуется больше места под elastic, то мы просто можем выполнить процедуру "Изменение конфигурации компонентов
MP SIEM Server и MP SIEM Events Storage на Debian" и все будет ок?
AS
Коллеги, добрый день!
Я верно понимаю, что если потребуется больше места под elastic, то мы просто можем выполнить процедуру "Изменение конфигурации компонентов
MP SIEM Server и MP SIEM Events Storage на Debian" и все будет ок?
Я верно понимаю, что если потребуется больше места под elastic, то мы просто можем выполнить процедуру "Изменение конфигурации компонентов
MP SIEM Server и MP SIEM Events Storage на Debian" и все будет ок?
Добрый вечер. Смотря что вы хотите сделать. Расширить дисковое пространство? Это делается средствами ОС. С помощью изменения конфигурации можно указать новый путь для хранения данных.
2021 April 02
I
Коллеги, добрый день!
Я верно понимаю, что если потребуется больше места под elastic, то мы просто можем выполнить процедуру "Изменение конфигурации компонентов
MP SIEM Server и MP SIEM Events Storage на Debian" и все будет ок?
Я верно понимаю, что если потребуется больше места под elastic, то мы просто можем выполнить процедуру "Изменение конфигурации компонентов
MP SIEM Server и MP SIEM Events Storage на Debian" и все будет ок?
LVM вам в помощь
AM
Добрый вечер. Смотря что вы хотите сделать. Расширить дисковое пространство? Это делается средствами ОС. С помощью изменения конфигурации можно указать новый путь для хранения данных.
Именно указать новый путь. Отлично, спасибо!
AM
LVM вам в помощь
Да, все верно)
BG
Коллеги, подскажите плз
Какие порты минимально должны быть открытыми для определения версии винды?
Чтобы версия винды в активе появилась.
Заказчик не хочет открывать все порты из профиля OS-detection
135 и 3389 открыты сейчас, но ОС не определяется.
Хотя nmap этих портов вроде как хватает)
Какие порты минимально должны быть открытыми для определения версии винды?
Чтобы версия винды в активе появилась.
Заказчик не хочет открывать все порты из профиля OS-detection
135 и 3389 открыты сейчас, но ОС не определяется.
Хотя nmap этих портов вроде как хватает)
m
Коллеги, подскажите плз
Какие порты минимально должны быть открытыми для определения версии винды?
Чтобы версия винды в активе появилась.
Заказчик не хочет открывать все порты из профиля OS-detection
135 и 3389 открыты сейчас, но ОС не определяется.
Хотя nmap этих портов вроде как хватает)
Какие порты минимально должны быть открытыми для определения версии винды?
Чтобы версия винды в активе появилась.
Заказчик не хочет открывать все порты из профиля OS-detection
135 и 3389 открыты сейчас, но ОС не определяется.
Хотя nmap этих портов вроде как хватает)
Планируется определять только по открытым портам и баннерам на них, без выполнения аудита?
BG
max
Планируется определять только по открытым портам и баннерам на них, без выполнения аудита?
Всё так
m
Всё так
сейчас windows discovery использует набор "135/tcp;139/tcp;445/tcp;1433/tcp;3389/tcp;"
Но гарантии определения ОС не будет, т.к. зависит от того, какие баннеры и прочие данные удастся собрать с этих хостов при сканировании.
если хотите получить полную информацию о хосте - используйте аудит.
Но гарантии определения ОС не будет, т.к. зависит от того, какие баннеры и прочие данные удастся собрать с этих хостов при сканировании.
если хотите получить полную информацию о хосте - используйте аудит.
BG
max
сейчас windows discovery использует набор "135/tcp;139/tcp;445/tcp;1433/tcp;3389/tcp;"
Но гарантии определения ОС не будет, т.к. зависит от того, какие баннеры и прочие данные удастся собрать с этих хостов при сканировании.
если хотите получить полную информацию о хосте - используйте аудит.
Но гарантии определения ОС не будет, т.к. зависит от того, какие баннеры и прочие данные удастся собрать с этих хостов при сканировании.
если хотите получить полную информацию о хосте - используйте аудит.
Принято,спасибо
2021 April 03
NA
max завез в mpsiemlib кучу крутых штук для работы с активами.
- Выгрузка списка инфраструктур
- Выгрузка списка групп
- Создание/удаление статических и динамических групп
- Выгрузка активов по PDQL в JSON и CSV
- Импорт активов из CSV в заданную группу
Либа апнулась до версии 1.3.0
https://github.com/feedb/MPSiem_addons/tree/master/mpsiemlib
- Выгрузка списка инфраструктур
- Выгрузка списка групп
- Создание/удаление статических и динамических групп
- Выгрузка активов по PDQL в JSON и CSV
- Импорт активов из CSV в заданную группу
Либа апнулась до версии 1.3.0
https://github.com/feedb/MPSiem_addons/tree/master/mpsiemlib
2021 April 05
N
Всем привет! Мы обновили пакеты экспертизы под Linux 🥳
Снизили кол-во фолзов, объединили табличные списки для первого пакета в один, добавили инструкцию по настройке источников с помощью Ansible
https://www.ptsecurity.com/ru-ru/about/news/v-maxpatrol-siem-povysilas-tochnost-vyyavleniya-atak-na-linux-sistemy/
Снизили кол-во фолзов, объединили табличные списки для первого пакета в один, добавили инструкцию по настройке источников с помощью Ansible
https://www.ptsecurity.com/ru-ru/about/news/v-maxpatrol-siem-povysilas-tochnost-vyyavleniya-atak-na-linux-sistemy/
SF
Всем привет! Мы обновили пакеты экспертизы под Linux 🥳
Снизили кол-во фолзов, объединили табличные списки для первого пакета в один, добавили инструкцию по настройке источников с помощью Ansible
https://www.ptsecurity.com/ru-ru/about/news/v-maxpatrol-siem-povysilas-tochnost-vyyavleniya-atak-na-linux-sistemy/
Снизили кол-во фолзов, объединили табличные списки для первого пакета в один, добавили инструкцию по настройке источников с помощью Ansible
https://www.ptsecurity.com/ru-ru/about/news/v-maxpatrol-siem-povysilas-tochnost-vyyavleniya-atak-na-linux-sistemy/
Это актуально только для версий 24.x?