RS
соединение не по rdp - alert
это понятная логика, но уже не очень универсальная
есть места, где это валидно
это понятная логика, но уже не очень универсальная
есть места, где это валидно
Size: a a a
2020 April 15
Z
ну да, всё зависит от кейса
Z
rdp как пример, хоть ssh для кого то там . но если smb, mssql и т.д. то точно алерт
RS
да много где в крупняке VPN->VDI является единственным вариантом
просто у таких, как правило, уже всё зарезано
но пойнт валидный
просто у таких, как правило, уже всё зарезано
но пойнт валидный
Z
можно юзать ТС с белым листом) короче что пожелает душа, главное придумать
RS
мы же ещё не хотели тянуть с первым релизом
поэтому тут сразу было запланировано несколько апдейтов
поэтому тут сразу было запланировано несколько апдейтов
m
rdp как пример, хоть ssh для кого то там . но если smb, mssql и т.д. то точно алерт
тоже зависит от ифнраструктуры и принятых правил работы
где-то это вполне ок
где-то это вполне ок
Z
max
тоже зависит от ифнраструктуры и принятых правил работы
где-то это вполне ок
где-то это вполне ок
тогда им наверное не нужен сием))))
Z
если они по vpn конекту разрешают такие протоколы как smb..
MG
Всем привет! Мы любим наших клиентов и партнеров, и поэтому по причине высокого спроса переписали правила пака для удаленки. Правила валидны для 19+ (не возраст). Пользуйтесь!
https://storage.ptsecurity.com/f/4742e536eb6d4216866e/?dl=1
https://storage.ptsecurity.com/f/4742e536eb6d4216866e/?dl=1
2020 April 16
И
Коллеги, добрый день!
Подскажите, как правильно писать рег выражение в правиле корреляции для сравнения по шаблону.
Типа функции match в pdql.
Пробовал
Subject.name == “.*dmin.*”,
Subject.name == “*dmin*” не отрабатывает
Подскажите, как правильно писать рег выражение в правиле корреляции для сравнения по шаблону.
Типа функции match в pdql.
Пробовал
Subject.name == “.*dmin.*”,
Subject.name == “*dmin*” не отрабатывает
RS
PCRE плюс-минус
Точнее, это в regex. В match wildcards. Это две разные функции. И это именно функции, а не расширение оператора ==, что пытаетесь сделать вы. Посмотрите в девелопгайде
Точнее, это в regex. В match wildcards. Это две разные функции. И это именно функции, а не расширение оператора ==, что пытаетесь сделать вы. Посмотрите в девелопгайде
v
Коллеги, подскажите, как правильно составить корреляцию
есть три события, если произошло второе или третье, но до этого НЕ происходило первое - то инцидент
not Event1 -> Event2 or Event3
Нельзя использовать not в первом событии правила, как быть?
есть три события, если произошло второе или третье, но до этого НЕ происходило первое - то инцидент
not Event1 -> Event2 or Event3
Нельзя использовать not в первом событии правила, как быть?
v
Коллеги, подскажите, как правильно составить корреляцию
есть три события, если произошло второе или третье, но до этого НЕ происходило первое - то инцидент
not Event1 -> Event2 or Event3
Нельзя использовать not в первом событии правила, как быть?
есть три события, если произошло второе или третье, но до этого НЕ происходило первое - то инцидент
not Event1 -> Event2 or Event3
Нельзя использовать not в первом событии правила, как быть?
ну и еще нужно сюда прикрутить within 5 m
RS
таблички, как вариант
если поток упорядоченный, то оно отработает
если неупорядоченный, то можно руками через ретрокорреляцию искать
если поток упорядоченный, то оно отработает
если неупорядоченный, то можно руками через ретрокорреляцию искать
v
Смысл такой - первое событие - запуск ОС, второе или третье (события из корреляции из коробки Malicious_system_like_process_started):
Mistyped_system_process or Process_with_wrong_data
Нужно, чтобы коррелятор не реагировал на запуск этих процессов если система только включилась
Mistyped_system_process or Process_with_wrong_data
Нужно, чтобы коррелятор не реагировал на запуск этих процессов если система только включилась
c
Смысл такой - первое событие - запуск ОС, второе или третье (события из корреляции из коробки Malicious_system_like_process_started):
Mistyped_system_process or Process_with_wrong_data
Нужно, чтобы коррелятор не реагировал на запуск этих процессов если система только включилась
Mistyped_system_process or Process_with_wrong_data
Нужно, чтобы коррелятор не реагировал на запуск этих процессов если система только включилась
При получении события старта ОС - записывать в ТС время старта.
В корреляции при событии 2 или 3 смотреть время старта ОС в ТС и сравнивать со временем события 2/3
В корреляции при событии 2 или 3 смотреть время старта ОС в ТС и сравнивать со временем события 2/3
MG
В паке по удаленке
А для какой версии openvpn писали нормализацию? У меня сырые события другие
MG
В может настройки логирования отличаются, хз
RS
С Windows Server 2019 эвентлог кто-нибудь собирал уже нашим агентом?