К
Здравствуйте
В рамках обучения предоставлялся файлик ScanData.0.50.4228-topology.nupkg, после подгрузки которого SIEM начинал корректно отображать топологию.
Как сформировать такой файл для существующей инфраструктуры?
Size: a a a
2021 June 01
D
так это файл с тестовыми сканами активов..
для вашей инфраструктуры вам необходимо аудит провести активов
для вашей инфраструктуры вам необходимо аудит провести активов
К
Может, человек хочет на бэкап стенд перенести таким образом? 🤔
SF
Т.е. выгрузка из самого же SIEM?
RS
SIEM строит топологию и рассчитывает достижимость на данных, которые приносит аудит активов (активного сетевого оборудования, в первую очередь)
ничего больше не требуется
ничего больше не требуется
D
ну можно сказать и так, что этот файлик получился путём выгрузки данных из тестового SIEM'а.
EP
Давайте попробуем зайти с другой стороны - а какую задачу вы хотите решить?
SF
Наглядное представление топологии для активного сетевого оборудования, которое не поддерживается SIEM))
2021 June 02
M
А не подскажите какой порт надо открыть? - 80, 443, 3333?
E
если агент унутре-5671
M
Немного не понял
E
если мы ставим агента в ЗК, то от агента надо просверлить технологическое отверстие по TCP 5671 до адреса компонента Core
M
Так… может я немного неправильно понял основное сообщение
Вообще, надо с актива собирать события (win event log), актив на одной стороне мэ, сервер сиема с другой
Для этого надо один порт открыть?
Вообще, надо с актива собирать события (win event log), актив на одной стороне мэ, сервер сиема с другой
Для этого надо один порт открыть?
E
В MaxPatrol SIEM для настройки сбора событий нужно создать задачу на сбор данных с профилем UDP Collection From ModuleSvcHost. При необходимости вы можете изменить номер порта для приема событий в секции параметров Запуск сценария в поле Параметрызапуска сценария (по умолчанию 13336).
E
там же, в документации
К
А агент где? На стороне сиема или актива?
M
Сиема
К
Тогда по рефгайду, емнип 135 и динамические порты от 49к
M
Спасибо