Size: a a a

2019 December 23

МЖ

Максим Жевнерев... in MaxPatrol SIEM
мб следующим апдейтом хоть немного подробностей про масштаб внедрения кто-нибудь раскроет? :)
источник

6

640kilobyte in MaxPatrol SIEM
Максим Жевнерев
мб следующим апдейтом хоть немного подробностей про масштаб внедрения кто-нибудь раскроет? :)
О да... Слейте нам инфу про внедрение :3
источник

МЖ

Максим Жевнерев... in MaxPatrol SIEM
ну хочется же понимать, за что призы дают :)
источник

К

Капибара in MaxPatrol SIEM
По итогам конкурса в целом обезличенно - напишем.

Сейчас не хотелось бы, чтобы не приславшие отчеты коллеги получили конкурентное преимущество на основе этого)
источник

МЖ

Максим Жевнерев... in MaxPatrol SIEM
хотя бы верхнеуровневые ТТХ
источник

6

640kilobyte in MaxPatrol SIEM
Максим Жевнерев
хотя бы верхнеуровневые ТТХ
Быть человеком, который выбирает какой siem толкать заказчику, не?
источник

К

Кац in MaxPatrol SIEM
Капибара
По итогам конкурса в целом обезличенно - напишем.

Сейчас не хотелось бы, чтобы не приславшие отчеты коллеги получили конкурентное преимущество на основе этого)
Вообще это была бы неплохая реклама для организации, в которой трудится победитель
источник

К

Капибара in MaxPatrol SIEM
Кац
Вообще это была бы неплохая реклама для организации, в которой трудится победитель
Организация-то написана
источник

К

Кац in MaxPatrol SIEM
Капибара
Организация-то написана
Дык чем внедрение выдающееся не написано
источник

К

Кац in MaxPatrol SIEM
Или сообщество должно проникнуться самим фактом, что макспатрол удалось успешно внедрить?
источник

К

Капибара in MaxPatrol SIEM
Кац
Дык чем внедрение выдающееся не написано
Обязательно напишем. После подведения итогов конкурса.
источник

٧

٧yacheslav in MaxPatrol SIEM
Всем привет. А есть какие-то причины, по которым в refguide для FreeBSD не описан конфиг auditd?
источник
2019 December 24

RS

Roman Sergeev in MaxPatrol SIEM
Mark Teslenko
да. не собирает события встроенными профилями. всё согласно документации настраивал.
в целом аналогично касперскому секьюрити центр, только не работает)
даже сырых событий нет
ни одним из трёх не собирает?
источник

ИБ

Иван Богучарский... in MaxPatrol SIEM
День добрый. Коллеги, напомните еще раз, пожалуйста, (или ткните мордочкой в доки) чем с технической и юридической точки зрения сканер встроенныв в SIEM отличается от MP8?
источник

RS

Roman Sergeev in MaxPatrol SIEM
отличается формат приносимых данных и их структура
способ расчёта уязвимостей по данным аудита в MPX другой
сканер приносит опорные данные для алгоритмов расчёта, связывающих их с данными об условиях существования уязвимости (база знаний) и выдающих вердикт об их наличии на узле.
это позволяет, в частности, обновлять вердикты по факту обновления базы знаний без обязательного пересканирования

пентестовые проверки плюс/минус похожи в обоих продуктах
источник

RS

Roman Sergeev in MaxPatrol SIEM
в целом, если вы знакомы с концепцией OVAL, то это похожая идея
очень грубо можно сказать так
ptkb приносит тесты
сканер данные
а сервер/ядро выполняет тесты над данными

в деталях, понятное дело, отличий и тонкостей вагон
данные сканер приносит в определённой модели
что такое модель, проще всего понять, почитав про CIM (это жестоко, да)
наша модель на неё похожа во многом
источник

ИБ

Иван Богучарский... in MaxPatrol SIEM
Я правильно понимаю, что MP8:
- сканирует узлы - получает данные узлов и наполняет ими модель CIM
- В PTKB описываются тесты, по которым будут прогоняться эти данные
- серверная часть MP8, получив данные и тесты, делает проверку данных по этим тестам
- обновление PTKB по сути добавляет новые проверки и перезапускает проверки над уже собранными данными без пересканирования

В сканере SIEM проверка делается в момент сканирования узлов, поэтому нужен переодический перезапуск сканера.

В части профилей pentest проверки MP8 и SIEM приблизительно похожи? Получается в MP8 набор профилей и тестов приблизительно такой же как в SIEM?

С точки зрения сертификации - MP8 сертифицирован как сканер уязвимостей, а сканер SIEM нет?
источник

6

640kilobyte in MaxPatrol SIEM
Иван Богучарский
Я правильно понимаю, что MP8:
- сканирует узлы - получает данные узлов и наполняет ими модель CIM
- В PTKB описываются тесты, по которым будут прогоняться эти данные
- серверная часть MP8, получив данные и тесты, делает проверку данных по этим тестам
- обновление PTKB по сути добавляет новые проверки и перезапускает проверки над уже собранными данными без пересканирования

В сканере SIEM проверка делается в момент сканирования узлов, поэтому нужен переодический перезапуск сканера.

В части профилей pentest проверки MP8 и SIEM приблизительно похожи? Получается в MP8 набор профилей и тестов приблизительно такой же как в SIEM?

С точки зрения сертификации - MP8 сертифицирован как сканер уязвимостей, а сканер SIEM нет?
У сиема процесс сбора данных об активе и рассчет по ним разделены. Теперь обновление хоть чего-то автоматом делает пересет - обновится ptkb - пересчет хоста. Новые данные об активе - пересчет хоста.
источник

RS

Roman Sergeev in MaxPatrol SIEM
Нет. Разрыв процесса сбора данных и расчёта уязвимостей - особенность MPX.
Вся первая часть вашего текста - про MPX

А периодический перезапуск сканера нужен как раз в MP8
источник

6

640kilobyte in MaxPatrol SIEM
Да, сканнер сертифицирован и можно его вместо mp8 юзать
// точнее сказать такое использование декларировано
источник