АЕ
Security
Изменено свойство \"password\": ожидается \"ABCD1234\", действительное значение \"\" в ресурсе Active Directory
Как мне правильно написать правило для параметра reason так, что бы все это предложение было в строкеЗаранее спасибо
Size: a a a
2021 July 23
🎅L
Коллеги, есть вопрос. Пишу нормализацию Avanpost IDM и в событии есть строка
Заранее спасибо
Заранее спасибо
I
E
а это конец сообщения? токен REST заюзать?
🎅L
Через UNTIL работает
E
ну лишь бы было к чему привязать однозначно
AK
Добрый день. У кого был опыт или может посоветовать как организовать сбор событий с рабочих станций, которые редко или вообще не подключаются по vpn, direct access? Сейчас в планах использовать WEF для централизованного сбора логов с виндовых машин внутри корп. периметра. Заранее благодарю за умные мысли и советы.
m
WEF и использовать.
Возможно будет иметь смысл сделать для станций, которые редко подключаются, отдельную подписку и в профиле/задаче сбора выставить historical=true. чтобы не корректировалось время в событиях при выходе за доверенный интервал (по умолчанию [-24h:1h]).
Возможно будет иметь смысл сделать для станций, которые редко подключаются, отдельную подписку и в профиле/задаче сбора выставить historical=true. чтобы не корректировалось время в событиях при выходе за доверенный интервал (по умолчанию [-24h:1h]).
AK
То есть выставить в интернет отдельный wef сервер? Выставлять наружу winrm (https) мне кажется не очень хорошая мысль. Именно поэтому и нахожусь в поиске решения данной задачи.
D
предложение было иное...
AK
Да действительно.
m
Да. стоило уточнить, что я все ж не предлагал WEC выставить напрямую. Можно считать, что мое предложение относится к тем, которые может и редко, но подключаются по защищенному каналу к корпоративной сети и WEC в ней.
AK
Все равно спасибо за совет. Буду заниматься дальше изыскательскими работами.
RS
Надо понять, зачем вы хотите видеть события с таких узлов.
Есть ли польза от их поступления раз в неделю-месяц? Насколько её больше было бы, поступай они онлайн? Если начать про это думать, то и ответы начнут появляться.
Может вам какое-то облачное решение для защиты Endpoint-ов нужно? А может надо везде always-on vpn поднять и трафик на WEC туда завернуть
Есть ли польза от их поступления раз в неделю-месяц? Насколько её больше было бы, поступай они онлайн? Если начать про это думать, то и ответы начнут появляться.
Может вам какое-то облачное решение для защиты Endpoint-ов нужно? А может надо везде always-on vpn поднять и трафик на WEC туда завернуть
2021 July 26
SA
Morning Colleagues
SA
I need assistance in a normalization rule...
SA
I have raw log like this:
SA
{"EVENT_DATE_KF":"1976-08-23T00:00:11",
"TRN_TERMINAL": "Host1",
"TRN_USER": "MFW_2009",
"ACTION_DATE": "2021-07-25 20:29:29",
"ACTION": "U",
"OLD_VAL": "2021-07-25",
"NEW_VAL": "2021-07-25",
"TRANS_SOURCE": null
}
"TRN_TERMINAL": "Host1",
"TRN_USER": "MFW_2009",
"ACTION_DATE": "2021-07-25 20:29:29",
"ACTION": "U",
"OLD_VAL": "2021-07-25",
"NEW_VAL": "2021-07-25",
"TRANS_SOURCE": null
}
SA
it is an oracle custom log.
SA
the basic normalization written was