Size: a a a

2020 January 01

6

640kilobyte in MaxPatrol SIEM
Вот вам смешно, а между прочим значит скоро будет новый ноябрь-декабрь. Скоро...
источник

NA

Nikolai Arefiev in MaxPatrol SIEM
Через 335 дней... точнее
источник

RS

Roman Sergeev in MaxPatrol SIEM
Год будет високосный. На разработку удастся потратить лишний день, которого всегда не хватает.
источник
2020 January 09

MT

Mark Teslenko in MaxPatrol SIEM
добрый день
кто-нибудь знает, какой параметр поменять в конфигах, чтобы  сиемом управлять можно было не только локально, а удаленно по ip.
проблема в том, что постоянно редиректит на localhost.
привязки в IIS добавил, пробовал менять в  web.config параметры с localhost на ip. после этого некоторый функционал отваливается, поэтому тоже не совсем то
источник

c

cinortoce in MaxPatrol SIEM
Какое значение в параметре HostAddress?
источник

MT

Mark Teslenko in MaxPatrol SIEM
да, если поменять только этот параметр, то похоже, что работает
источник

MT

Mark Teslenko in MaxPatrol SIEM
cinortoce
Какое значение в параметре HostAddress?
благодарю
источник

VM

Vsevolod Mitenev in MaxPatrol SIEM
Добрый день.
На MP SIEM 18.1 All-in-one появилось сообщение:
"Объем очередей MaxPatrol Core Messaging Service достиг критического порога. Отправка сообщений агентами будет временно приостановлена."
Как восстановить нормальную работу?
источник

A

Aleksandr in MaxPatrol SIEM
Коллеги, а почему такая путаная инструкция по сбору Windows? Написано:
1. Создайте локальную УЗ (или доменную, см. раздел Х).
2. Действие
3. Действие
и т.д.

На деле, если я хочу использовать доменную УЗ и иду в раздел Х, то в нем пункты, заменяющие не только п.1 основной инструкции, но и все остальные - 2, 3 и т.д.

Кроме того указано, что если пользователь входит в Event Log Readers, то SDDL для доступа к журналам можно не править. Но как же  Security? Насколько помню, для него только группы не хватало, SDDL тоже нужен.

Я один еле продрался через эту инструкцию, или она действительно не особо то удобная?
источник

DP

D P in MaxPatrol SIEM
Да никто больше не читал её, фиг там настраивать-то
источник

c

cinortoce in MaxPatrol SIEM
На Security группы хватает
источник

c

cinortoce in MaxPatrol SIEM
Вот на лог DNS сервера не хватает
источник

c

cinortoce in MaxPatrol SIEM
И ещё, если захочется использовать именно локальную учётку, тогда ещё придётся подкрутить LocalAccountTokenFilterPolicy
источник

A

Aleksandr in MaxPatrol SIEM
D P
Да никто больше не читал её, фиг там настраивать-то
Ну фиг-не фиг, а Заказчику надо отправить поподробнее, сами наверняка знаете, какие курьезы бывают
источник

A

Aleksandr in MaxPatrol SIEM
cinortoce
На Security группы хватает
На MP давно не пробовал, но на других SIEM мне не хватало, даже для Network Service через WEC ее приходится прописывать
источник

c

cinortoce in MaxPatrol SIEM
cinortoce
И ещё, если захочется использовать именно локальную учётку, тогда ещё придётся подкрутить LocalAccountTokenFilterPolicy
Хотя, это вроде роляет только если учётка локальная и с правами администратора
источник

c

cinortoce in MaxPatrol SIEM
Aleksandr
На MP давно не пробовал, но на других SIEM мне не хватало, даже для Network Service через WEC ее приходится прописывать
Ну я 100 раз собирал MP SIEMом через EventLogReader из Security
источник
2020 January 10

MT

Mark Teslenko in MaxPatrol SIEM
пытаюсь поменять  стандартные ssl-сертификаты сервера. выпустил новый, привязал в IIS. Почти везде работает нормально, подставляется новый, кроме случая, когда идет редирект на порт 3333 или 3334 со страницей авторизации. Там подставляется старый сертификат.
Что нужно изменить, чтобы там тоже подставлялся новый?
Видел в kbcfg есть параметр SSlCertificateThumb.
и в corecfg MicroserviceCerttificateThumb
в их сторону смотреть?
источник

D

Dips in MaxPatrol SIEM
Mark Teslenko
пытаюсь поменять  стандартные ssl-сертификаты сервера. выпустил новый, привязал в IIS. Почти везде работает нормально, подставляется новый, кроме случая, когда идет редирект на порт 3333 или 3334 со страницей авторизации. Там подставляется старый сертификат.
Что нужно изменить, чтобы там тоже подставлялся новый?
Видел в kbcfg есть параметр SSlCertificateThumb.
и в corecfg MicroserviceCerttificateThumb
в их сторону смотреть?
mccfg
источник

MT

Mark Teslenko in MaxPatrol SIEM
Dips
mccfg
там менять SSLCerificateThumb и MicroservicesCertificateThumb на свои отпечатки серта?
источник