D
нет, тут не надо интерфейс настраивать
Size: a a a
2019 November 08
MG
нет, тут не надо интерфейс настраивать
Ок, значит я правильно сделал
D
Ок, значит я правильно сделал
ну если у вас бродкаст пошёл значит работает. осталось сетевое оборудование настроить 😉
MG
Сием видит только udp и icmpv6, сетевики утверждают, что спан подан нормально. Сейчас попрошу tcpdump'ом посмотреть, приходит ли на интерфейс другой трафик
ED
день добрый, какая служба запускает прием сообщений сислога? пытаюсь настроить отправку событий на сиеме нет открытых порто, фаервол отключен нетстат показывает что на пк с сием только udp 514 запущен и если настроить источник на udp, события не идут
t
El Dimko
день добрый, какая служба запускает прием сообщений сислога? пытаюсь настроить отправку событий на сиеме нет открытых порто, фаервол отключен нетстат показывает что на пк с сием только udp 514 запущен и если настроить источник на udp, события не идут
Должна быть создана и запущена задача на сбор syslog, тогда на агенте откроется порт и будет прием событий
K
El Dimko
день добрый, какая служба запускает прием сообщений сислога? пытаюсь настроить отправку событий на сиеме нет открытых порто, фаервол отключен нетстат показывает что на пк с сием только udp 514 запущен и если настроить источник на udp, события не идут
уверены, что не идут? может не нормализуются?
ED
teladi
Должна быть создана и запущена задача на сбор syslog, тогда на агенте откроется порт и будет прием событий
есть такая задача
ED
уверены, что не идут? может не нормализуются?
ага не идут, в ненормализованных по сислогу пусто
ED
есть по винлогу ненормализованные
ED
да я прям с сиемки не могу на этот порт подключится
t
El Dimko
есть такая задача
Если задача есть, то порт на сиеме должен быть поднят
t
точнее 2, 1 TCP второй UDP
t
Задача точно запущена? в ее логах есть ошибки?
ED
teladi
Задача точно запущена? в ее логах есть ошибки?
t
ну это нормально (tcp открывается на1468)
c
Если задача есть, порт слушается и открыт, но событий нет даже в сырых, то надо дампить трафик и смотреть приходит ли что-то по сислог на агент
t
Скорее всего не доходят до агента события.
для удобной отладки можно воспользоваться Visual Syslog server
для удобной отладки можно воспользоваться Visual Syslog server
ED
пасиб
BB
Michael
Подразумевается, что кто-то знает json/api и будет автоматически отсылать данные в финцерт.
Этот кто-то должен работать на windows, так как используется континент tls в виде vpn клиента
Этот кто-то должен работать на windows, так как используется континент tls в виде vpn клиента
Ряд неточностей.
1) для доступа к порталу нужно провесить tls, тут вы правы, но провесить доступ до АСОИ вы можете из разных точек, в т.ч. с линуха - никто не запрещает и такие реализации были
2) там должно быть stix и openioc + json в видении позитива (я так понимаю, родной для макспатрола)
1) для доступа к порталу нужно провесить tls, тут вы правы, но провесить доступ до АСОИ вы можете из разных точек, в т.ч. с линуха - никто не запрещает и такие реализации были
2) там должно быть stix и openioc + json в видении позитива (я так понимаю, родной для макспатрола)