Приветствую всех. У меня проблема с UCS, не соединяется по SSL.

pt.updater self update выдает такую ошибку:

raise SSLError(e, request=request)
SSLError: ("bad handshake: SysCallError(-1, 'Unexpected EOF')",)

Соединение с сервером обновлений по ssl выдает:

root@siem-server-01:/srv/pt.updater# openssl s_client -connect update.ptsecurity.com:443
CONNECTED(00000003)
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 176 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
   Protocol  : TLSv1.2
   Cipher    : 0000
   Session-ID:
   Session-ID-ctx:
   Master-Key:
   PSK identity: None
   PSK identity hint: None
   SRP username: None
   Start Time: 1580389004
   Timeout   : 7200 (sec)
   Verify return code: 0 (ok)
   Extended master secret: no
---

Может кто-то сталкивался с такой проблемой?

Добрый вечер!
Коллеги, кто-нибудь настраивал сбор логов auditd на linux? Какой инструкцией пользоваться? Refguide или пакет экспертизы 12? В этих инструкциях разные правила для службы auditd.

Добрый вечер.

Стоит пользоваться инструкцией к пакету экспертизы.

Инструкции в пакете направлены на обеспечение работоспособности пакета. Если им не следовать, то корреляции из пака работать не будут

Всем привет. Можно ли использовать ptsiemsdk gui 2.0 для тестирования правил корреляции? если да, то как и в каком виде в него подавать нормализованное событие?

Спасибо за ответ. Правильно ли я понимаю, что в случае если есть две ОС и одна настроена по refguide а вторая по пакету, то необходимо иметь два  syslog приёмника с разными профилями?

Настраивайте по документации к паку. Рефгайд в этом  месте неактуален и будет скорректирован

Добрый день! Да, в версии 2.0 можно тестировать правила корреляции как в редакторе по одиночке (первая вкладка), так и на вкладке сценариев (вторая вкладка). Краткая инструкция по работе с ptsiemsdk gui есть в гайде разработчика для релиза 21.1

Спасибо. Актуальная версия sdk build 206 или есть новее сборка?

Лучше использовать 209 сборку, там исправлена проблема с наличием пробелов в путях к инструментам и контенту. Если не планируете указывать пути с пробелами, можно спокойно использовать 206 сборку, других отличий нет

Спасибо

Всем привет. Извините, если вопрос глупый, но хотелось бы уточнить, в чем разница между MP Scanner 8 и модулем Pentest SIEM'а (раздел 39.1.3 рефгайда)? Нет дублирования функционала?

вот где-то там ответ на твой вопрос, как мне кажется

MP8 в режиме Pentest и MP SIEM при сканировании модулем Pentest делает примерно одинаковые вещи: проверяют эксплуатируемость некоторых уязвимостей напрямую и собирают данные о сервисах. На нижнем уровне почти всё совпадает. А вот набор уязвимостей, которые будут определены по баннерам, будет разниться

Ещё раз подчеркну - это про Pentest.

Audit сильно различается

Спасибо