G
Уведомления об инцидентах могут отправляться по почте
Size: a a a
2019 October 29
Z
Александр
Коллеги, подскажите, MaxPatrol SIEM может отправлять события об инцидентах во внешнюю систему?
Можно в телеграм и thehive
G
Есть коллеги, которые собирают информацию об инцидентах через web-API и отправляют их в Телеграм. Наверно им недостаточно китайцев в канале
Z
Куда угодно
А
а по syslog?
Z
Инциденты по сислог
Z
Вы хлеще меня будете:)
Z
А простите, куда?:)
G
В агента
Z
На python я думаю можо реализовать:)
G
На питоне есть модуль syslog. Я использую его в кофеварке. Форвард сообщений — понятная тема. Но тут мне наверное стоит загадочно умолкнуть.
G
А
Инциденты по сислог
Сам не знал, что так делают. Но такая возможность описана в документации ПТ (документация не на MaxPatrol SIEM, но указано, что MaxPatrol SIEM умеет отправлять инциденты по syslog)
Z
Александр
Сам не знал, что так делают. Но такая возможность описана в документации ПТ (документация не на MaxPatrol SIEM, но указано, что MaxPatrol SIEM умеет отправлять инциденты по syslog)
Принимать? События?
m
Инциденты по сислог
По udp
А
max
По udp
Это подтверждение, что SIEM умеет отдавать инциденты по syslog? Как настраивается?
v
m
Это лёгкий троллинг про гарантию доставки, сорри.
Если нужно полноценно работать-лучше смотреть на API
Просто отправить можно внешним скриптом-но см. выше про доставку и т.д.
Если нужно полноценно работать-лучше смотреть на API
Просто отправить можно внешним скриптом-но см. выше про доставку и т.д.
Z
Вы не получаете логи с днс сервера? Или получаете но они никакие? А на самом сервере днс eventы нормальные? У меня ,например, они совсем не информативные
m
Днс-сервер помнится в файл журналы(запросы и ответы) пишет. И как забирать из них-есть в рефгайде