Size: a a a

2019 December 19

AB

Alexander Borisov in MaxPatrol SIEM
Всем привет. Коллеги, столкнулся с проблемой: встроенное правило корреляции при обращении к справочнику mitre_attack_whitelist игнорит исключения. Исключения добавлял по user_id для правила remoting_possible_malicious_file_copied. В справочник внёс в user_id в формате "S-1-5 и далее" остальные поля уже оставил "*".
Что я делаю не так? Правило как работает, так и работает.
источник

MG

Maxim Gaydukov in MaxPatrol SIEM
Alexander Borisov
Всем привет. Коллеги, столкнулся с проблемой: встроенное правило корреляции при обращении к справочнику mitre_attack_whitelist игнорит исключения. Исключения добавлял по user_id для правила remoting_possible_malicious_file_copied. В справочник внёс в user_id в формате "S-1-5 и далее" остальные поля уже оставил "*".
Что я делаю не так? Правило как работает, так и работает.
Список табличный с новым исключением в сием переустановили же?
источник

AB

Alexander Borisov in MaxPatrol SIEM
Maxim Gaydukov
Список табличный с новым исключением в сием переустановили же?
Это справочник, да. Установить пробовал, для профилактики даже коррелятор перезапускал. На всякий случай.
источник

К

Капибара in MaxPatrol SIEM
Капибара
Апаем тему!

Конкурс на лучшее внедрение MaxPatrol SIEM уже идет полным ходом, если кто не в курсе! Мы хотим еще раз озвучить условия конкурса для тех, кто пропустил его начало и\или ничего о нем не слышал. Для большего удобства мы внесли несколько изменений в конкурс. В первую очередь к вопросу о «как поучаствовать». Изначально указано, что вам нужно подать заявку и подождать подтверждения. На самом деле, давайте упростим – вы можете сразу же присылать отчет, не дожидаясь подтверждения. Для участия в конкурсе, чтобы оное не потерялось среди других писем мы завели специальный ящик: topdeploy@ptsecurity.ru Присылайте отчеты туда, ждите фидбека, забирайте заслуженный ноутбук и благодарственное письмо от нас. Те, кто уже прислал заявку – вы молодцы и теперь осталось только прислать отчет.
Коллеги!

Случилось страшное (но поправимое)! Наш спам-фильтр сожрал все письма с вложениями! А я еще думаю, почему так мало писем и все нерелевантные. Похоже нам теперь и свой антиспам надо разрабатывать.

Но это всё лирика, а щас будут большие буквы для привлечения внимания.

ПОЖАЛУЙСТА ОТПРАВЬТЕ СВОИ ОТЧЕТЫ ЕЩЕ РАЗ!

topdeploy@ptsecurity.ru

СПАСИБО

Это последний раз, обещаем.

Сорри за неувязку, конец года, все в запаре и всё такое.
источник

6

640kilobyte in MaxPatrol SIEM
Капибара
Коллеги!

Случилось страшное (но поправимое)! Наш спам-фильтр сожрал все письма с вложениями! А я еще думаю, почему так мало писем и все нерелевантные. Похоже нам теперь и свой антиспам надо разрабатывать.

Но это всё лирика, а щас будут большие буквы для привлечения внимания.

ПОЖАЛУЙСТА ОТПРАВЬТЕ СВОИ ОТЧЕТЫ ЕЩЕ РАЗ!

topdeploy@ptsecurity.ru

СПАСИБО

Это последний раз, обещаем.

Сорри за неувязку, конец года, все в запаре и всё такое.
https://t.me/MPSIEMChat/13956 до 20 говоришь прислать надо было? :)
источник

6

640kilobyte in MaxPatrol SIEM
/me смотрит на календарь
источник

U

Unknown in MaxPatrol SIEM
Коллеги, добрый день . Подскажите, плизз, у МР SIEM есть поддержка ADSF 3.0 ?
источник

U

Unknown in MaxPatrol SIEM
Может парсить логи из этого источника ?
источник

К

Капибара in MaxPatrol SIEM
640kilobyte
/me смотрит на календарь
Ну вот мы ща заседать будем 😊
источник

MM

Maxim Melnikov in MaxPatrol SIEM
Unknown
Коллеги, добрый день . Подскажите, плизз, у МР SIEM есть поддержка ADSF 3.0 ?
ВЫ наверное  ADFS имели ввиду? Третья версия это 2012 server?
источник

U

Unknown in MaxPatrol SIEM
Maxim Melnikov
ВЫ наверное  ADFS имели ввиду? Третья версия это 2012 server?
Active Directory Federation Services
источник

MM

Maxim Melnikov in MaxPatrol SIEM
они же пишут в эвентлог и по идее часть событий точно должно парсится
источник

U

Unknown in MaxPatrol SIEM
Профиля под него точно не нашёл . В рефгайде есть только мануал по настройке  версии 2.0
источник

MM

Maxim Melnikov in MaxPatrol SIEM
не берусь говорить точно, но по идее оно должно быть сопоставимо по настройке и события с похожей структурой :).
источник

RS

Roman Sergeev in MaxPatrol SIEM
Вы что именно оттуда хотите сохранять?
источник

U

Unknown in MaxPatrol SIEM
Roman Sergeev
Вы что именно оттуда хотите сохранять?
Хочу смотреть, кто коннектиться    извне организации, и как часто
источник

ИБ

Иван Богучарский... in MaxPatrol SIEM
Подскажите - топология в дальнейшем будет как-то модернизироваться? Суть в том, что при аудите нескольких бордеров и ядер собралось порядка 100 подсетей, все это в окошке 200x300 смотрится не очень да и браузер подвешивает минуты на 3-4...
источник

ИБ

Иван Богучарский... in MaxPatrol SIEM
Примерно так это выглядит, это пример одного из основных ядер, там выше еще есть несколько...
источник

К

Капибара in MaxPatrol SIEM
Иван Богучарский
Примерно так это выглядит, это пример одного из основных ядер, там выше еще есть несколько...
кросево
источник

IY

Ivan Yakushev in MaxPatrol SIEM
Иван Богучарский
Примерно так это выглядит, это пример одного из основных ядер, там выше еще есть несколько...
это топология Интернета?)
источник