В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MaxPatrol SIEM

979 membersпожаловаться на группу
2018 November 26

IY

Ivan Yakushev in MaxPatrol SIEM
Максим Максимович
dns и dhcp возможно настройить логировать в виндовые журналы, пробовали?
пока не могу найти, как это сделать
просто, если включить audit log у DHCP сервера, то в Operatinal скидываются только события управления службой, например добавление пулов, удаление резервованных адресов и тд (по сути действия администратора)
а в файле, расположенном в C:\Windows\system32\dhcp\DhcpSrvLog* лежит совершенно другая информация
источник
14:42пожаловаться#1

AP

Aleksey Patrikeyev in MaxPatrol SIEM
Добрый день, товарищи! Подскажите с таким вопросом: нужно отправлять сообщения об инцидентах из одного PT SIEM во второй PT SIEM. Как настраивается примерно такое и какой протокол для взаимодействия при этом использовать?
Спасибо.
источник
14:56пожаловаться#2
2018 November 27

ММ

Максим Максимович... in MaxPatrol SIEM
Вчера в личку ответил, но продублирую сюда. Сейчас интеграция инстансов сиема сделана скриптами на базе API, включает в себя пересылку инцидентов  и связанных событий. В следующих релизах выйдет фитча консолидация событий по фильтрам.
источник
09:52пожаловаться#3

Z

Zinin in MaxPatrol SIEM
Подскажите пожалуйста дополнительно, при закрытии инцидента в PT SIEM #2, инцидент в PT SIEM #1 так же будет закрыт, т.е. есть ли "обратная" интеграция по API?
источник
10:00пожаловаться#4

ММ

Максим Максимович... in MaxPatrol SIEM
Нет, воркфлоу не синхронизирован.
источник
10:01пожаловаться#5

ММ

Максим Максимович... in MaxPatrol SIEM
Опыт показывает, что организации готовые позволить себе иерархический сием, используют внешние системы управления инцидентами.
источник
10:04пожаловаться#6

Z

Zinin in MaxPatrol SIEM
Ок, спасибо
источник
10:05пожаловаться#7

ММ

Максим Максимович... in MaxPatrol SIEM
Мы анализировали синхранизацию воркфлоу инцидентов, но пока отложили реализацию ввиду более приоритетных задач.
источник
10:09пожаловаться#8

MI

M IV in MaxPatrol SIEM
У виндового DNS сервера, начиная с 2012 R2, появился Analytical/Audit logging с записью в журналы Microsoft\Windows\DNS-Server\*. Сферически-вакуумно обещалась просадка производительности не более 5% при 100,000 query per sec.
Вопрос в нормализации.
источник
16:49пожаловаться#9

MI

M IV in MaxPatrol SIEM
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn800669(v=ws.11)
Docs
DNS Logging and Diagnostics
источник
16:49пожаловаться#10
2018 November 28

K

KyKyLLIoHoK in MaxPatrol SIEM
Подскажите пожалуйста, есть ли где-то список минимальных требований к правам УЗ Windows для успешного завершения аудита?
источник
15:43пожаловаться#11

MG

Maxim Gaydukov in MaxPatrol SIEM
Вроде в руководстве по MaxPatrol8
источник
15:48пожаловаться#12

K

KyKyLLIoHoK in MaxPatrol SIEM
тут скорее вопрос в точности информации с гайда восьмерки... Например для Cisco ASA там неполный список команд.
источник
15:53пожаловаться#13

IY

Ivan Yakushev in MaxPatrol SIEM
KyKyLLIoHoK
тут скорее вопрос в точности информации с гайда восьмерки... Например для Cisco ASA там неполный список команд.
для винды там достаточно точно написано
источник
15:56пожаловаться#14

K

KyKyLLIoHoK in MaxPatrol SIEM
ок, спасибо
источник
15:56пожаловаться#15

ММ

Максим Максимович... in MaxPatrol SIEM
Ivan Yakushev
пока не могу найти, как это сделать
просто, если включить audit log у DHCP сервера, то в Operatinal скидываются только события управления службой, например добавление пулов, удаление резервованных адресов и тд (по сути действия администратора)
а в файле, расположенном в C:\Windows\system32\dhcp\DhcpSrvLog* лежит совершенно другая информация
Возможно решить по другому, на конечный узлах настраивается клиентский аудит dhcp, события лизинга пишутся в локальный журнал событий, делается с клиентских станций subscription на сервер, с которого собираются событий. В целом это полезно делать - настраиваеть расширенный аудит на узлах и в SIEM заводить.
источник
16:49пожаловаться#16

M

Michael in MaxPatrol SIEM
Максим Максимович
Возможно решить по другому, на конечный узлах настраивается клиентский аудит dhcp, события лизинга пишутся в локальный журнал событий, делается с клиентских станций subscription на сервер, с которого собираются событий. В целом это полезно делать - настраиваеть расширенный аудит на узлах и в SIEM заводить.
Тяжёлое решёние, собирать со всех клиентов события.
На сколько арм/устройств удастся пролить данные изменения? Объем большой с неясны результатом. Лучше контроль организовать на самом dhcp - если на нем нет доступа, то сделать с него сбор событий через winrm, либо собирать данные с dhcp relay серверов.
источник
18:51пожаловаться#17

ММ

Максим Максимович... in MaxPatrol SIEM
А вам не интересны кейсы с армов?
источник
19:09пожаловаться#18

M

Michael in MaxPatrol SIEM
Интересны, но в рамках решения вышеспоставленной задачи проблема может быть со стороны клиентов, там могут быть не только windows машины, но и mac, lin, android, и другие.
источник
19:11пожаловаться#19

ММ

Максим Максимович... in MaxPatrol SIEM
Согласен))
источник
19:12пожаловаться#20