v
авто? видимо не работает значит
Size: a a a
2020 April 03
Z
авто? видимо не работает значит
+
Z
Не работает
Z
Или как то не так работает
Z
Я перепроверяю и присуждаю фолс
К
фолс позитив текнолоджиз
К
Или как то не так работает
а сколько времени прошло?
Z
а сколько времени прошло?
по разному бывает)
К
просто первая мысль была, что не успела запись упасть в список
RS
Список Accounts_with_changed_password заполняется?
v
Ребят, подскажите, как затраблшутить момент поступления событий до SIEM, момент такой:
Подключили нестандартный источник по syslog -
заказчик показывает скрин настройки сислога, где стоит ip адрес агента
заказчик скидывает дамп трафика, там видно что пакет сислога отправляется на агент, порт стандартный протокол udp
я открываю экспорт датой сырые события ненормализованные полученные по сислогу - ничего
Подключили нестандартный источник по syslog -
заказчик показывает скрин настройки сислога, где стоит ip адрес агента
заказчик скидывает дамп трафика, там видно что пакет сислога отправляется на агент, порт стандартный протокол udp
я открываю экспорт датой сырые события ненормализованные полученные по сислогу - ничего
v
ну точнее не ничего, а есть, но не оттуда
v
по фильтру recv_ipv4 <адрес источника> - пусто
m
Или как то не так работает
а подробности? что в ТС с учетккми у которых поменяли пароль?
К
Ребят, подскажите, как затраблшутить момент поступления событий до SIEM, момент такой:
Подключили нестандартный источник по syslog -
заказчик показывает скрин настройки сислога, где стоит ip адрес агента
заказчик скидывает дамп трафика, там видно что пакет сислога отправляется на агент, порт стандартный протокол udp
я открываю экспорт датой сырые события ненормализованные полученные по сислогу - ничего
Подключили нестандартный источник по syslog -
заказчик показывает скрин настройки сислога, где стоит ip адрес агента
заказчик скидывает дамп трафика, там видно что пакет сислога отправляется на агент, порт стандартный протокол udp
я открываю экспорт датой сырые события ненормализованные полученные по сислогу - ничего
послушать снифером на агенте не вариант?
m
Ребят, подскажите, как затраблшутить момент поступления событий до SIEM, момент такой:
Подключили нестандартный источник по syslog -
заказчик показывает скрин настройки сислога, где стоит ip адрес агента
заказчик скидывает дамп трафика, там видно что пакет сислога отправляется на агент, порт стандартный протокол udp
я открываю экспорт датой сырые события ненормализованные полученные по сислогу - ничего
Подключили нестандартный источник по syslog -
заказчик показывает скрин настройки сислога, где стоит ip адрес агента
заказчик скидывает дамп трафика, там видно что пакет сислога отправляется на агент, порт стандартный протокол udp
я открываю экспорт датой сырые события ненормализованные полученные по сислогу - ничего
tcpdump/wireshark?
v
max
tcpdump/wireshark?
на агенте поставить?
m
на агенте поставить?
Ну да. Чтобы подтвердить. что пакеты пришли. А то были случаи
К
на агенте поставить?
netsh trace
К
и не надо ставить на агент левый софт