В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MaxPatrol SIEM

979 membersпожаловаться на группу
2018 November 14

Z

Zer🦠way in MaxPatrol SIEM
{
 "historical": false,
 "mime": "text/plain",
 "corrections": {
   "time_zone": 0,
   "time_delta": 0
 },
 "tag": "syslog",
 "site_id": "00000000-0000-0000-0000-000000000000",
 "input_id": "5b3ede1b-e5e8-470f-8fd7-abe170d03614",
 "agent_id": "ffe4f7e4-838b-4daa-8a87-43eb90e0408e",
 "recv_time": "/Date(1542177311000)/",
 "uuid": "00000005-bebc-021f-f000-0766e14d1d10",
 "type": "raw",
 "body": "<14> Nov 14 11:36:16 10.10.253.25 audispd:  node=TST_logclient type=PATH msg=audit(1542177376.427:1631): item=1 name=\"/lib64/ld-linux-x86-64.so.2\" inode=43339 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 objtype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0",
 "recv_ipv4": "10.10.253.23",
 "task_id": "3f8e82c9-1240-49c9-890e-86b9c02defb2",
 "job_id": "101d4de1-1dc0-0001-0000-000000000003",
 "tenant_id": "00000000-0000-0000-0000-000000000004",
 "normalized": true,
 "scope_id": "00000000-0000-0000-0000-000000000005"
}
источник
09:38пожаловаться#1

Z

Zer🦠way in MaxPatrol SIEM
Событие трэшовое (бесполезное и неинформативное). Необходимо либо изменить правила аудита, либо по умолчанию удалять в сиеме
источник
09:42пожаловаться#2

e

e6e6e in MaxPatrol SIEM
Zer🦠way
Событие трэшовое (бесполезное и неинформативное). Необходимо либо изменить правила аудита, либо по умолчанию удалять в сиеме
Здравая мысль!
источник
09:42пожаловаться#3

L

Lynx in MaxPatrol SIEM
Zer🦠way
{
 "historical": false,
 "mime": "text/plain",
 "corrections": {
   "time_zone": 0,
   "time_delta": 0
 },
 "tag": "syslog",
 "site_id": "00000000-0000-0000-0000-000000000000",
 "input_id": "5b3ede1b-e5e8-470f-8fd7-abe170d03614",
 "agent_id": "ffe4f7e4-838b-4daa-8a87-43eb90e0408e",
 "recv_time": "/Date(1542177311000)/",
 "uuid": "00000005-bebc-021f-f000-0766e14d1d10",
 "type": "raw",
 "body": "<14> Nov 14 11:36:16 10.10.253.25 audispd:  node=TST_logclient type=PATH msg=audit(1542177376.427:1631): item=1 name=\"/lib64/ld-linux-x86-64.so.2\" inode=43339 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 objtype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0",
 "recv_ipv4": "10.10.253.23",
 "task_id": "3f8e82c9-1240-49c9-890e-86b9c02defb2",
 "job_id": "101d4de1-1dc0-0001-0000-000000000003",
 "tenant_id": "00000000-0000-0000-0000-000000000004",
 "normalized": true,
 "scope_id": "00000000-0000-0000-0000-000000000005"
}
Спасибо за внутреннюю адрессацию)
источник
09:43пожаловаться#4

Z

Zer🦠way in MaxPatrol SIEM
Lynx
Спасибо за внутреннюю адрессацию)
это тестовый стенд) на здоровье. 😀
источник
09:43пожаловаться#5

L

Lynx in MaxPatrol SIEM
А какое правило нормализации?
источник
09:44пожаловаться#6

L

Lynx in MaxPatrol SIEM
Сам писал или нет?
источник
09:44пожаловаться#7

Z

Zer🦠way in MaxPatrol SIEM
нет, дефолт
источник
09:45пожаловаться#8

L

Lynx in MaxPatrol SIEM
Zer🦠way
нет, дефолт
Можем приватно обсудить?
источник
09:45пожаловаться#9

L

Lynx in MaxPatrol SIEM
Я переписывал граф нормализации под себя по некоторым источникам
источник
09:46пожаловаться#10

M

Michael in MaxPatrol SIEM
Zer🦠way
Событие трэшовое (бесполезное и неинформативное). Необходимо либо изменить правила аудита, либо по умолчанию удалять в сиеме
Зачем удалять? Оставлять как информационное событие. Таких событий миллион, только когда что-то случиться можно будет разобраться что случилось по ним.
источник
09:54пожаловаться#11

Z

Zer🦠way in MaxPatrol SIEM
Michael
Зачем удалять? Оставлять как информационное событие. Таких событий миллион, только когда что-то случиться можно будет разобраться что случилось по ним.
оно не корректное
источник
09:55пожаловаться#12

Z

Zer🦠way in MaxPatrol SIEM
есть 2 событие
источник
09:55пожаловаться#13

Z

Zer🦠way in MaxPatrol SIEM
Выполнена команда "python" на узле
источник
09:55пожаловаться#14

M

Michael in MaxPatrol SIEM
Интерпретация не корректная
источник
09:55пожаловаться#15

Z

Zer🦠way in MaxPatrol SIEM
и оно дает понять что была выполнена команда
источник
09:55пожаловаться#16

Z

Zer🦠way in MaxPatrol SIEM
а событие "толи создали толи удалили толи выполнили" не дает понять ничего
источник
09:56пожаловаться#17

M

Michael in MaxPatrol SIEM
Видимо что-то случилось - интерпретация
источник
09:56пожаловаться#18

Z

Zer🦠way in MaxPatrol SIEM
по факту выполнение одной команды генерирует события: Пользователь с UID 0 создал или удалил файл /usr/bin/python |  Выполнена команда "python" | Пользователь с UID 0 создал или удалил файл /lib64/ld-linux-x86-64.so.2
источник
09:58пожаловаться#19

Z

Zer🦠way in MaxPatrol SIEM
валидную информацию несет событие Выполнена команда "python", всё остальное треш
источник
09:58пожаловаться#20