Принято, спасибо

Коллеги подскажите а пробная лицензия на MaxPatrol VM на какой период давалась?)))

Коллеги, добрый день. Подскажите, пожалуйста, кто-то подключал сбор событий с источников MS SQL выше 2014, SharePoint выше 2013 и IIS выше 9.5? Нормализуются ли события?

1. В конструкторе отчетов MP VM при большом кол-ве столбцов данные могут не отображаться. При этом я не нашел возможности настроить ландшафтную ориентацию отчета. Такой возможности нет?

2. Возможно ли в конструкторе настроить свой отчет с агрегацией данных следующего вида:
Имеется табличный список активов с выявленными на них в результате аудита уязвимостях и отфильтрованный, например, по SVSSv3BaseSCore > 7 + отсортированный сначала по IP/hostname, а затем по SVSSv3BaseSCore.  В этом списке активов удобно дополнительно сделать агрегацию с подсчетом, например, кол-ва уязвимостей для каждого IP/hostname. При выводе в отчет такого списка столбец с IP/hostname по сути занимает драгоценное место и значения в нем просто будут многократно повторены при большом кол-ве уязвимостей на каждом из хостов, поэтому IP/hostname в отчете хотелось бы выводить не в отдельном столбце, а в виде заголовка-наименования IP/hostnameне в отдельном столбце, а в виде заголовка-наименования IP/hostname, а уже вслед за заголовком - собственно таблицу/список уязвимостей (например, столбцы CVE, SVSSv3BaseSCore и время обнаружения) для данного IP/hostname. Возможно ли такое? Нет - примите, пожалуйста, как пожелание для доработок.

Всем добрый день. Не так или не там спросил? Никто не подскажет?

Зависит от требуем полноты сканирования, если необходимы максимально полные данные - лучше давать админа, с тонкой настройкой можно какую-то деталь упустить потому что права доступа к объектам ОС в MS далеко не всегда тривиальны и прозрачны.

Если нет жёстких ограничений на предоставление админа, то это в целом и время всей активности экономит.

Тонкая настройка...
1. Сканировать под учеткой админа, но запретить ей интерактивный вход в систему через политики.
2. Использовать сервисные учётные записи.

В чате по mp8 ещё можешь спросить конечно...
А так раньше у Позитива статья была в базе знаний, о том как настроить сканирование без админских прав, но там действительно во-первых сама настройка была сложной, во-вторых не все уязвимости показывались в сравнении со сканированием от админской учётки

По пункту 1 мысль - спасибо! По 2 не догнал, это про детальную настройку УЗ? Или есть "заряженные"? Аудит предполагается другой конторой, оттого и не хотелось "выдавать" больше чем реально необходимо.

Это да, но аудит предполагается другой конторой/подразделением. Не хочется "нагружать" их лишними привилегиями.

Ну смотри, https://docs.microsoft.com/ru-ru/azure/active-directory/fundamentals/service-accounts-group-managed

По-моему это оно

Во, вот тут наверное получше написано

Могу конечно ошибаться, но вот такие сервисные аккаунты по-моему уже сразу не могут интерактивный вход осуществлять.
А дать им права админа можно, и сканирование настроить тоже.
У меня, во всяком случае, года 3 назад получалось 😁

Спасибо 👍 есть над чем репку почесать 🙂

если по-русски: гранулярная настройка возможна, но обычно глаза становятся очень большими и дают локального админа

Коллеги, подскажите, возможно кто-то сталкивался. Есть сбор событий с файлового сервера Windows, в siem приходит много событий записи во временные файлы (.tmp и т.п.). Как исключить события с такими файлами лучше всего?

События виндового  аудита в журнале security?
Или sysmon?

Добрый день. подскажите разницу между MaxPatrol Scanner и MaxPatrol VM ?

Если они никому не нужны, то лучше их не генерировать вообще. Фильтрацию при сборе можете XPath фильтром попробовать  сделать