Просто в позитиве работают жаждущие hl3, а 9 это 3*3

Теории заговора и все дела! :)

А какая версия патруля стала спайдером, кстати?

Случаем не шестая?

8я

Разве? Я слышал что какаято до восьмеры

Не, на момент начала разработки MP8 уже была семерка. Восьмеркой стал урезанный вариант MP8

Коллеги, доброго дня! Вопрос по подключению к сиему Cisco ASC.
ПО гайду для версии 21.1 это стандартный источник, для которого нужна УЗ в Cisco для доступа по ssh и пароль для доступа по SNMP. В инструкции по настройке создается УЗ с правами админа, меня немного смущает это. А какие минимальные права нужны для этой УЗ?

👍ну хоть кого то это смущает

Наверное я просто застенчивый🤔😂

я всё еще надеюсь на ответ, коллеги..))

А вам нужен аудит ASA или просто логи собрать?

Если аудит Cisco, то там скорее всего запускаются команды из привилегированного режима, которые недоступны в непривилегированном режиме пользователям. Вероятно это просмотр таблиц маршрутизации, просмотр интерфейсов, acl и других кусков конфигурации - надо смотреть журнал, чтобы вычленить их (по крайней мере в журнале аудита Linux команды, которыми наполянются активы присутствуют).

Отсюда выхода 2:
- либо повышать уровень привилегий учетки SIEM выдачей enable или выставления уровня привилегии для нее, что-то типа 15.
- либо создавать view с пречнем команд, которые нужно выцарапать из журналов (или у разработчиков) и добавлять в эту view пользователя с обычными правами. Тогда он сможет их выполнять.

пока копался, нашел в новом рефгайде весьма полезню инфу в приложении - команды, которые запускает агент сиема на источнике для выполнения аудита =)

По всем источникам?

не аса, а ACS, но суть одна)

сам написал неправильно  в начале =)

а, речь шла об acs

ага, но суть примерно та же, аудит - по ssh и snmp, а события - syslog

в таком случае еще вопрос к знакотам)
аудит по ssh и аудит по snmp - взаимозаменяемые понятия, или взаимодополняемые?