RS
Потому что с dc всё надо делать аккуратно). А то бывали в практике невеселые истории
Size: a a a
2019 March 26
VL
Ну это конечно :)
IS
Коллеги, а возможно ли в правиле корреляции оперировать данными актива? В частности интересует возможность оперировать уязвимостями, а точнее cve'шками. Используется(допустим логон) компьютер с cve 2015 года значит инцидент
D
Коллеги, а возможно ли в правиле корреляции оперировать данными актива? В частности интересует возможность оперировать уязвимостями, а точнее cve'шками. Используется(допустим логон) компьютер с cve 2015 года значит инцидент
С 19.1 вы можете наполнять табличные списки данными из активов(сформировав соответствующий pdql-запрос)..
С 21 релиза в pdql по активам можно будет использовать данные уязвимостей.
Сейчас вы можете создать дингруппу с фильтрацией активов по уязвимостям, и использовать эту группу при наполнении табличных списков
С 21 релиза в pdql по активам можно будет использовать данные уязвимостей.
Сейчас вы можете создать дингруппу с фильтрацией активов по уязвимостям, и использовать эту группу при наполнении табличных списков
IS
Я примерно так же и думал, но при таком подходе я же не смогу в скорелированное событие вывести интересующую cve 2015 года, только хост где она есть, а потом ручками искать эту cve, правильно?
D
Я примерно так же и думал, но при таком подходе я же не смогу в скорелированное событие вывести интересующую cve 2015 года, только хост где она есть, а потом ручками искать эту cve, правильно?
Да, пока только так
Z
в версии 19.1 в правилах корреляции больше не показывает какие правила пользовательские а какие "из коробки"?
IS
в версии 19.1 в правилах корреляции больше не показывает какие правила пользовательские а какие "из коробки"?
В сиеме смотрите или пткб?
Z
В сиеме смотрите или пткб?
сиеме
IS
У меня был такой косяк после обновления, надо куки и все остальной мусор почистить
IS
В сиеме сейчас вообще не отображается какое это правило
Z
У меня был такой косяк после обновления, надо куки и все остальной мусор почистить
во, как раз после апдейта
A
Добрый день!
Коллеги, кто-нибудь сталкивался с отправкой событий на SIEM при помощи программы nxlog? В каком направлении копать?
Коллеги, кто-нибудь сталкивался с отправкой событий на SIEM при помощи программы nxlog? В каком направлении копать?
m
Alexander
Добрый день!
Коллеги, кто-нибудь сталкивался с отправкой событий на SIEM при помощи программы nxlog? В каком направлении копать?
Коллеги, кто-нибудь сталкивался с отправкой событий на SIEM при помощи программы nxlog? В каком направлении копать?
Речь о каком-то кастомном источнике или о событиях windows?
Если о windows eventlog - лучше использовать штатные способы - сбор агентом или event collector
Если о windows eventlog - лучше использовать штатные способы - сбор агентом или event collector
RS
в версии 19.1 в правилах корреляции больше не показывает какие правила пользовательские а какие "из коробки"?
Да. Исправим
Z
Да. Исправим
+
A
max
Речь о каком-то кастомном источнике или о событиях windows?
Если о windows eventlog - лучше использовать штатные способы - сбор агентом или event collector
Если о windows eventlog - лучше использовать штатные способы - сбор агентом или event collector
Да, события Windows event log (security и sysmon).
Дело в том, что на узлах инфраструктуры уже развернут nxlog. До внедрения mp SIEM логи собирали стеком ELK + wso2 cep.
Хочу направить события в SIEM не меняя схему получения логов (через nxlog)
Дело в том, что на узлах инфраструктуры уже развернут nxlog. До внедрения mp SIEM логи собирали стеком ELK + wso2 cep.
Хочу направить события в SIEM не меняя схему получения логов (через nxlog)
Z
Alexander
Да, события Windows event log (security и sysmon).
Дело в том, что на узлах инфраструктуры уже развернут nxlog. До внедрения mp SIEM логи собирали стеком ELK + wso2 cep.
Хочу направить события в SIEM не меняя схему получения логов (через nxlog)
Дело в том, что на узлах инфраструктуры уже развернут nxlog. До внедрения mp SIEM логи собирали стеком ELK + wso2 cep.
Хочу направить события в SIEM не меняя схему получения логов (через nxlog)
геморой какой:)
A
геморой какой:)
У нас распределенная инфраструктура. Много Nat. Штатными средствами SIEM собирать события будет не просто.
VL
Alexander
Добрый день!
Коллеги, кто-нибудь сталкивался с отправкой событий на SIEM при помощи программы nxlog? В каком направлении копать?
Коллеги, кто-нибудь сталкивался с отправкой событий на SIEM при помощи программы nxlog? В каком направлении копать?
Собирал. Моя проблема была в том что источник был в событиях промежуточным сервером: по схеме собирал с серверов на промежуточную точку в файл, а с нее уже из файла читал сиемом.