R
Но, оно будет требовать oauthlib, насколько помню с этим могут быть проблемы в сборке питона SIEM`а.
Size: a a a
2021 August 05
RS
Не заведется siem. Эластик не будет работать
m
если найдется pure python реализация - не будет (ок, не должно быть )
R
https://github.com/microsoftgraph/python-security-rest-sample и https://github.com/microsoftgraph/python-sample-auth => тут подробнее можно посмотреть
А
Возможно. Демо SIEM у меня был помощнее на 4х Xeon, 32Gb ОЗУ и обычных SATA6 HDD в RAID 10 ~300Gb, Win SRV 2016. Все лабы при подготовке к тестам делал на нем.
RS
32 ок, да
m
ну вот конкретно этим могут быть проблемы из-за gevent/eventlet/etc
Но можно ж обойтись и без них для работы с REST
Но можно ж обойтись и без них для работы с REST
R
Наверное. Это просто примеры от MS
R
Это, кстати, в общем по Security Center. Если нужна только Azure AD (например нет подписок соответствующих, только база Azure AD), то можно через хаб - https://docs.microsoft.com/ru-ru/azure/active-directory/reports-monitoring/tutorial-azure-monitor-stream-logs-to-event-hub
K
Коллеги, а кто как борется с "Suspicious_process_execution_sequence" и chrome.exe который вызывает плагин для банка, например вот таким образом: "C:\Windows\system32\cmd.exe /d /c "C:\Users\buh04\AppData\Roaming\SignalCOM\BCO System Cryptographic Plugin\FireWyrmNativeMessageHost.exe" chrome-extension://fahheakdhoeoigmafejkehdoeikpgdfp/ --parent-window=0 < \\.\pipe\chrome.nativeMessaging.in.2cc1f378b05051e2 > \\.\pipe\chrome.nativeMessaging.out.2cc1f378b05051e2"?
Такое в исключения просто так не занесешь, а разрешать запускать хрому все подряд очень не хочется.
Такое в исключения просто так не занесешь, а разрешать запускать хрому все подряд очень не хочется.
Z
Ад какой
Z
Cmd чтобы вызвать бинарь 😀
Z
Тут только регуляркой разрешать этот конкретный плагин
K
Ну честно говоря у меня есть даже еще более альтернативная реальность, например
iexplorer.exe который вызывает "C:\Windows\system32\rundll32.exe C:\Windows\system32\inetcpl.cpl,ClearMyTracksByProcess Flags:142607307 WinX:0 WinY:0 IEFrame:0000000000000000"
iexplorer.exe который вызывает "C:\Windows\system32\rundll32.exe C:\Windows\system32\inetcpl.cpl,ClearMyTracksByProcess Flags:142607307 WinX:0 WinY:0 IEFrame:0000000000000000"
K
Просто не ужели никто не сталкивался с таким? Правило мало популярное?
Z
Оно очень важное
Z
Просто вот такие костыли от разрабов дбо это….
K
А получается его переписывать надо