IY
ну я так, по-быстрому( пример же
Size: a a a
2021 July 27
m
Я понимаю, но потом по привычке кто-то и напишет {STRING+}{STRING+} и т.д.
MM
И половина формул отвалится)
Старайтесь использовать в форматных строках типа TEXT максимально кол-во констант/хардкод текста, такие «якоря» позволят формуле нормализовать именно те сырые события, которые ей нужно нормализовать, и не зацепить что-то лишнее
Старайтесь использовать в форматных строках типа TEXT максимально кол-во констант/хардкод текста, такие «якоря» позволят формуле нормализовать именно те сырые события, которые ей нужно нормализовать, и не зацепить что-то лишнее
N
В MaxPatrol SIEM обновился пакет экспертизы для выявления атак на Microsoft SQL Server
Мы выпустили обновление загруженного ранее пакета экспертизы для выявления атак на системы управления базами данных Microsoft SQL Server. Благодаря обновлению пользователи MaxPatrol SIEM смогут выявлять еще 8 признаков присутствия злоумышленников в СУБД.
Суммарно в пакете экспертизы теперь доступно 31 правило обнаружения угроз. Изменения доступны для всех пользователей MaxPatrol SIEM версии 6.1 (R24).
Подробнее: https://www.ptsecurity.com/ru-ru/about/news/maxpatrol-siem-vyyavlyaet-bolshe-podozritelnyh-aktivnostej-v-subd-microsoft-sql-server/
Мы выпустили обновление загруженного ранее пакета экспертизы для выявления атак на системы управления базами данных Microsoft SQL Server. Благодаря обновлению пользователи MaxPatrol SIEM смогут выявлять еще 8 признаков присутствия злоумышленников в СУБД.
Суммарно в пакете экспертизы теперь доступно 31 правило обнаружения угроз. Изменения доступны для всех пользователей MaxPatrol SIEM версии 6.1 (R24).
Подробнее: https://www.ptsecurity.com/ru-ru/about/news/maxpatrol-siem-vyyavlyaet-bolshe-podozritelnyh-aktivnostej-v-subd-microsoft-sql-server/
AS
К PT VM также относится обновление?
N
нет, пакеты экспертизы с правилами обнаружения угроз работают только в SIEM
А
Всем добрый день!
Есть две инсталляции PT MP VM + Агенты (локальные) + UCS:
на первой версия 24.0.3942, Агент 24.0.3942, KB 352926;
на другой версия - 24.0.3586, Агент 24.0.3586, KB 352887. Вторая упорно не хочет обновляться. Для KB - сообщение "база знаний актуальна, обновлений нет", для Агента - "Узел с агентом недоступен для Update and Configuration Service. Обновление невозможно". Последнее тем более удивительно для локального Агента. Служба Core.Agent работает нормально. UCS нормально доступен со стороны Core/Agent по tcp4505,4506,9035. С Самого UCS доступен update.ptsecurity.com:443.
Что может быть не так, что следует проверить? Лицензии актуальны.
Есть две инсталляции PT MP VM + Агенты (локальные) + UCS:
на первой версия 24.0.3942, Агент 24.0.3942, KB 352926;
на другой версия - 24.0.3586, Агент 24.0.3586, KB 352887. Вторая упорно не хочет обновляться. Для KB - сообщение "база знаний актуальна, обновлений нет", для Агента - "Узел с агентом недоступен для Update and Configuration Service. Обновление невозможно". Последнее тем более удивительно для локального Агента. Служба Core.Agent работает нормально. UCS нормально доступен со стороны Core/Agent по tcp4505,4506,9035. С Самого UCS доступен update.ptsecurity.com:443.
Что может быть не так, что следует проверить? Лицензии актуальны.
KK
Коллеги, добрый день. Уточните, пожалуйста, правильно ли я понимаю, при релизе 6.1 в VM переехали расчеты и отображение уязвимостей на активах, но SIEM все еще может проводить пентест и аудит сканирования?
D
да, всё так
AS
Коллеги, добрый день. Подскажите, пожалуйста, может ли сием считывать заархивированные логи?
RS
Файловые логи можно читать из архивов
RS
кажется, я ошибся
тогда только через custom event collector
тогда только через custom event collector
AS
Добрый день! Следует проверить вывод команды salt-key -L на сервере UCS. Агент должен присутствовать в "accepted keys".
Потом стоит проверить службы salt*. Они должны быть запущены. И журналы /var/log/ucs/. На стороне агента можно почитать журналы D:\salt\var\log\salt
Если не разберётесь, то приходите в техподдержку
Потом стоит проверить службы salt*. Они должны быть запущены. И журналы /var/log/ucs/. На стороне агента можно почитать журналы D:\salt\var\log\salt
Если не разберётесь, то приходите в техподдержку
D
Alex Вроде даже пример был в продукте с чтением логов в tar архивах..
MD
Всем привет!
Подскажите, пожалуйста, куда копать - после перезагрузки core и server+storage не подгружаются события в UI.
Значок загрузки крутится-крутится, ошибки никакой не выдаёт
Подскажите, пожалуйста, куда копать - после перезагрузки core и server+storage не подгружаются события в UI.
Значок загрузки крутится-крутится, ошибки никакой не выдаёт
RS
Индикатор health monitoring какого цвета?
MD
Зелёный
АГ
Службы все запущены?
MD
Ага, везде запущены
m
На всякий случай, на сиеме все сервисы запущены, ошибок в логе коммандера нет?