IY
между прочим, господа, этот кейс с понедельника в поддержке PT и до сих единственное письмо — это "Thank you for contacting us"
Size: a a a
2018 November 28
IY
хотя на самом деле мне нужен ответ в стиле "мы пока можем только по SMB", чтобы заказчику показать
IY
ждем-с
e
А syslog уже предлагали, да? )
IY
А syslog уже предлагали, да? )
Нет, такого ещё не было)
e
Зачем устанавливать агент от ПТ просто для пересылки событий?
Вполне можно обойтись syslog-ом и небольшой модификацией формул нормализации под новый формат. Задача весьма тривиальная.
Но, очевидно, это уже задача не для вендора.
Вполне можно обойтись syslog-ом и небольшой модификацией формул нормализации под новый формат. Задача весьма тривиальная.
Но, очевидно, это уже задача не для вендора.
IY
Зачем устанавливать агент от ПТ просто для пересылки событий?
Вполне можно обойтись syslog-ом и небольшой модификацией формул нормализации под новый формат. Задача весьма тривиальная.
Но, очевидно, это уже задача не для вендора.
Вполне можно обойтись syslog-ом и небольшой модификацией формул нормализации под новый формат. Задача весьма тривиальная.
Но, очевидно, это уже задача не для вендора.
Я к тому что логи в файлах хранит не только DHCP, вполне логично в функционал Endpoint Monitor вписывается чтение логов из файла
e
Endpoint Monitor это прежде всего аналог Sysmon, а для него задачи несколько иные.
M
Endpoint стоит отдельных денег
IY
Michael
Endpoint стоит отдельных денег
У нас куплен
IY
В любом случае syslog на КД это 3rd-party ПО, за которое никто ответственности не несёт
IY
Устанавливать его в продакшене я бы не стал, только в самом крайнем случае
e
Endpoint Monitor это прежде всего аналог Sysmon, а для него задачи несколько иные.
Раскрою мысль - EM это в первую очередь генератор событий, а не преобработчик и форвардер готового журнала. Но это ИМХО.
e
В любом случае syslog на КД это 3rd-party ПО, за которое никто ответственности не несёт
Если интересно, то могу попробовать на стенде. Выглядит, как нормальное решение, но с оговорками в отношении протокола передачи (syslog).
ММ
Поделитесь какие кейсы планируется решать с логами dhcp?
ММ
хотя на самом деле мне нужен ответ в стиле "мы пока можем только по SMB", чтобы заказчику показать
Номер заявки в тп скиньте пожалуйста
2018 November 29
D
изначально вопрос был направлен на выяснение можно ли забрать эти логи установленным локально агентом MP SIEM, потому что заказчик, как ни странно, готов установить ПО на КД
надо только учитывать что при установке агента вы получите сразу все модули(filemonitor, audit, pentest, и тд)..
в итоге на контроллере домена можно будет запустить пентест или кастомные скрипты... что мягко говоря, совсем не безопасно.
в итоге на контроллере домена можно будет запустить пентест или кастомные скрипты... что мягко говоря, совсем не безопасно.
IY
Максим Максимович
Номер заявки в тп скиньте пожалуйста
Максим, спасибо, в заявку уже ответили
IY
надо только учитывать что при установке агента вы получите сразу все модули(filemonitor, audit, pentest, и тд)..
в итоге на контроллере домена можно будет запустить пентест или кастомные скрипты... что мягко говоря, совсем не безопасно.
в итоге на контроллере домена можно будет запустить пентест или кастомные скрипты... что мягко говоря, совсем не безопасно.
спасибо, я так себе именно и представлял, но заказчик хочет узнать альтернативные пути, поэтому собственно и появился этот кейс
ММ
спасибо, я так себе именно и представлял, но заказчик хочет узнать альтернативные пути, поэтому собственно и появился этот кейс
Есть пока воркэраунд, выпилить модули, это мы можем подсказать как сделать, но при очередном обновление надо будет учитывать.