Z
Мы люди каячные. Инц взвелся - его подхватили и засунули в каяк, в котором он дальше и поплыл
транслейт плиз:))))
Size: a a a
2019 March 25
К
если честно, вполне реально использовать, но надо выключать/править почти все коробочные правила, иначе устанешь фолсы закрывать
Почти? Что искаропки можно не выключать?
RS
транслейт плиз:))))
Kayako
2019 March 26
NA
Всем доброй ночи. Попробую пояснить по поводу вышеизложенного: 1. Открытая документация. Сейчас прорабатываем online портал. Скорее всего именно он пойдет в общий доступ. 2. IRP . Как показывает практика, есть 2 варианта. Или инцидентами вообще не управляют (лень, нет людей, нет времени), либо поиграться чуток и начинают расти в сторону выстраивания процессов.
NA
Выстраивание процессов часто ведёт к тому, что в рамах siem становится тесно и люди уходят в сторонние решения
NA
Hive IRP, решения класса task trackers
NA
Это не только и не столько специфика MP SIEM, я такое наблюдал и с Arcsight и Qradar
NA
Грамотные процессы требуют большой гибкости от IRP, т.к. процессы затачиваются под свою компанию. SIEMы этого не дают
NA
В том числе и поэтому есть отдельный класс IRP решений, стоящих рядом с SIEM.
NA
Сейчас в MP SIEM реализован такой подход: мы даем базовые вещи, с которых можно начать развивать процессы реагирования. Если вам их мало - это очень хорошо! Скорее всего вы близки к тому, чтобы смотреть в сторону полноценной IR платформы.
Z
Сейчас в MP SIEM реализован такой подход: мы даем базовые вещи, с которых можно начать развивать процессы реагирования. Если вам их мало - это очень хорошо! Скорее всего вы близки к тому, чтобы смотреть в сторону полноценной IR платформы.
👍👍спасибо за расширенный ответ
Z
Доброе утро, что ему надо от меня? не ставятся эти пакеты..
Z
вопрос снят, нужно было: 1) обновить вин 2) распаковать архив с апдейтом
VL
Коллеги, доброго дня. Может кто посоветует: массово на домен контроллере фиксируются ошибки о неуспешном входе пользователя, но источника почему-то не указано. Есть идеи как можно найти - откуда это безобразие идёт?
03/26/2019 06:51:53 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4776
EventType=0
Type=Information
ComputerName=DC.***
TaskCategory=Credential Validation
OpCode=Info
RecordNumber=797****21
Keywords=Audit Failure
Message=The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: a.*****a
Source Workstation:
Error Code: 0xc000006a
03/26/2019 06:51:53 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4776
EventType=0
Type=Information
ComputerName=DC.***
TaskCategory=Credential Validation
OpCode=Info
RecordNumber=797****21
Keywords=Audit Failure
Message=The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: a.*****a
Source Workstation:
Error Code: 0xc000006a
e
Коллеги, доброго дня. Может кто посоветует: массово на домен контроллере фиксируются ошибки о неуспешном входе пользователя, но источника почему-то не указано. Есть идеи как можно найти - откуда это безобразие идёт?
03/26/2019 06:51:53 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4776
EventType=0
Type=Information
ComputerName=DC.***
TaskCategory=Credential Validation
OpCode=Info
RecordNumber=797****21
Keywords=Audit Failure
Message=The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: a.*****a
Source Workstation:
Error Code: 0xc000006a
03/26/2019 06:51:53 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4776
EventType=0
Type=Information
ComputerName=DC.***
TaskCategory=Credential Validation
OpCode=Info
RecordNumber=797****21
Keywords=Audit Failure
Message=The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: a.*****a
Source Workstation:
Error Code: 0xc000006a
А какая версия домена?
Самый простой вариант посмотреть в трафике (фильтр по УЗ).
Самый простой вариант посмотреть в трафике (фильтр по УЗ).
К
самый простой вариант посмотреть события рядом. оно там, скорее всего, не одно.
VL
Сам сервак 2016, а домен 2008 вроде.
VL
А какая версия домена?
Самый простой вариант посмотреть в трафике (фильтр по УЗ).
Самый простой вариант посмотреть в трафике (фильтр по УЗ).
А в нем логин в нешифрованном виде?
e
А в нем логин в нешифрованном виде?
Это же доменная УЗ, если LDAP без SSL/TLS то да. )
e
События рядом, например, 4625 от той же УЗ.