DG
Windows event forwarding поищи. Можно
Size: a a a
2021 August 30
m
это все же не про копирование .evr(x) и сбор из файла.
m
технически можно, но сбор все равно будет не из файла а через eventlog api
подключаем его на машине так, чтобы он был виден через api, собираем указав соответствующее имя журнала.
Но, возможно, стоит исходную задачу озвучить, возможно для нее найдется более хорошее решение.
подключаем его на машине так, чтобы он был виден через api, собираем указав соответствующее имя журнала.
Но, возможно, стоит исходную задачу озвучить, возможно для нее найдется более хорошее решение.
P
Задача, собирать логи. Как я понял нужно устанавливать агент MP, для отправки логов(чего нельзя сделать )
E
зачем?
DG
Нет, не нужно агента ставить, но нужно агенту соответствующие доступы выдать до машины с журналом
m
нельзя ставить агент на целвой хост? Этого не требуется, сбор идет по сети
Нельзя отправлять? Сбор событий из изолированных сегментов не решает задачу?
Нельзя отправлять? Сбор событий из изолированных сегментов не решает задачу?
P
Спасибо, за информацию. Принято
E
писать-да. но правила подкапотные
2021 August 31
N
[Пакет экспертизы]🕵️♂️
Скомпрометировав межсетевые экраны, маршрутизаторы или коммутаторы, злоумышленники могут быстро развить атаку внутри сети и добраться до своих целей.
Чтобы такого не произошло, в MaxPatrol SIEM загружены правила обнаружения признаков компрометации межсетевых экранов Cisco ASA и Check Point с операционной системой GAiA, маршрутизаторов и коммутаторов MikroTik и Cisco с операционной системой IOS.
Для выявления некоторых признаков компрометации понадобится система анализа трафика PT NAD.
👉🏻 Подробнее: https://www.ptsecurity.com/ru-ru/about/news/maxpatrol-siem-vidit-eshche-bolshe-incidentov-svyazannyh-s-setevymi-ustrojstvami/
Скомпрометировав межсетевые экраны, маршрутизаторы или коммутаторы, злоумышленники могут быстро развить атаку внутри сети и добраться до своих целей.
Чтобы такого не произошло, в MaxPatrol SIEM загружены правила обнаружения признаков компрометации межсетевых экранов Cisco ASA и Check Point с операционной системой GAiA, маршрутизаторов и коммутаторов MikroTik и Cisco с операционной системой IOS.
Для выявления некоторых признаков компрометации понадобится система анализа трафика PT NAD.
👉🏻 Подробнее: https://www.ptsecurity.com/ru-ru/about/news/maxpatrol-siem-vidit-eshche-bolshe-incidentov-svyazannyh-s-setevymi-ustrojstvami/
2021 September 01
М_
Доброго дня, после пилота PT NAD, для отключения его агента из SIEM удалил настройки которые прописывал согласно инструкции при подключение, но агент NAD все равно "светится." куда "копать"?
E
никуда копать не надо, вот сверху кнопка "удалить"
М_
Спасибо, уже туплю😂 пора в отпуск...
E
ну и службу агента на NAD в disable
E
чтоб не маячила
М_
Спасибо, понял.
RS
сколько лет люди ждали эту важнейшую функцию :)
2021 September 02
R
Добрый день! Подскажите, как можно при нормализации удалить экранирование символов?
m
а какое именно экранирование нужно убрать?
есть прмиер события?
есть прмиер события?
R
\"Event\":{\"xmlns\":\"http://schemas.microsoft.com/win/2004/08/events/event\",\"System\":{\"Provider\":{\"Name\":\"Microsoft-Windows-Security-Auditing\",