VS
Пример:
rule Example: Event+ timer 5s
# Выполнено при регистрации за 5 секунд любого числа Event.
rule Example: Event+ timer 5s
# Выполнено при регистрации за 5 секунд любого числа Event.
Спасибо большое!
Size: a a a
2020 April 24
N
Пакет экспертизы под удаленку пополнился правилами под межсетевой экран от Check Point: https://www.ptsecurity.com/ru-ru/about/news/mp-siem-vyyavlyaet-podozritelnuyu-aktivnost-pri-udalennom-dostupe-organizovannom-s-pomoshchyu-check-point/
MG
Пакет экспертизы под удаленку пополнился правилами под межсетевой экран от Check Point: https://www.ptsecurity.com/ru-ru/about/news/mp-siem-vyyavlyaet-podozritelnuyu-aktivnost-pri-udalennom-dostupe-organizovannom-s-pomoshchyu-check-point/
Под старые версии сием сделаете? Сможете сюда выложить, как до этого выкладывали?
N
Под старые версии сием сделаете? Сможете сюда выложить, как до этого выкладывали?
давайте призовем к ответу @truerps 🙏🏻
m
"Для пользователей более старых версий MaxPatrol SIEM мы переписали правила из этого пакета под версии 19, 20 и 21. Скачать их можно по ссылке - https://storage.ptsecurity.com/f/4742e536eb6d4216866e/?dl=1" (с)
N
В четверг, 30 апреля расскажем, как выявлять аномалии, связанные с удалёнкой, с помощью MaxPatrol SIEM и PT NAD. Регистрация на вебинар https://www.ptsecurity.com/ru-ru/research/webinar/310423/
ЕШ
Пакет экспертизы под удаленку пополнился правилами под межсетевой экран от Check Point: https://www.ptsecurity.com/ru-ru/about/news/mp-siem-vyyavlyaet-podozritelnuyu-aktivnost-pri-udalennom-dostupe-organizovannom-s-pomoshchyu-check-point/
А откуда скачать данный пакет экспертизы для 22 версии, если система изолирована и воспользоваться UCS нет возможности?
Только техподдержка или можно как-то в ручном режиме скачать UpdateData.ptkb с ресурса https://update.ptsecurity.com/ ?
Только техподдержка или можно как-то в ручном режиме скачать UpdateData.ptkb с ресурса https://update.ptsecurity.com/ ?
m
А откуда скачать данный пакет экспертизы для 22 версии, если система изолирована и воспользоваться UCS нет возможности?
Только техподдержка или можно как-то в ручном режиме скачать UpdateData.ptkb с ресурса https://update.ptsecurity.com/ ?
Только техподдержка или можно как-то в ручном режиме скачать UpdateData.ptkb с ресурса https://update.ptsecurity.com/ ?
запросить в ТП файл. Или воспользоваться offline-режимом UCS и, опять же, запросить апдейты в ТП
D
надо все потыкать да, понять что есть что а потом пилить ТС и кореляхи
Примерчик запроса по пользователям, его атрибуты и группы в которые он входит:
select(@ActiveDirectory, ActiveDirectory.Domains.Users.CN, ActiveDirectory.Domains.Users.UserPrincipalName, ActiveDirectory.Domains.Users.DistinguishedName, ActiveDirectory.Domains.Users.WhenCreated, ActiveDirectory.Domains.Users.LastLogonTimestamp, ActiveDirectory.Domains.Users.AccountExpires, ActiveDirectory.Domains.Users.PwdLastSet, ActiveDirectory.Domains.Users.AdminCount, ActiveDirectory.Domains.Users.UserAccountControl.AccountDisable, ActiveDirectory.Domains.Users.UserAccountControl.Lockout, ActiveDirectory.Domains.Users.UserAccountControl.DontExpirePasswd, ActiveDirectory.Domains.Users.UserAccountControl.PasswordExpired, ActiveDirectory.Domains.Users.AllParents.CN)
select(@ActiveDirectory, ActiveDirectory.Domains.Users.CN, ActiveDirectory.Domains.Users.UserPrincipalName, ActiveDirectory.Domains.Users.DistinguishedName, ActiveDirectory.Domains.Users.WhenCreated, ActiveDirectory.Domains.Users.LastLogonTimestamp, ActiveDirectory.Domains.Users.AccountExpires, ActiveDirectory.Domains.Users.PwdLastSet, ActiveDirectory.Domains.Users.AdminCount, ActiveDirectory.Domains.Users.UserAccountControl.AccountDisable, ActiveDirectory.Domains.Users.UserAccountControl.Lockout, ActiveDirectory.Domains.Users.UserAccountControl.DontExpirePasswd, ActiveDirectory.Domains.Users.UserAccountControl.PasswordExpired, ActiveDirectory.Domains.Users.AllParents.CN)
2020 April 25
e
Подскажите, пожалуйста, можно ли сбросить задачи, которые сейчас находятся в статусе "Завершается"?
Например, уменьшив TTL останавливающихся задач или просто как-то экстренно их остановить.
Например, уменьшив TTL останавливающихся задач или просто как-то экстренно их остановить.
D
Подскажите, пожалуйста, можно ли сбросить задачи, которые сейчас находятся в статусе "Завершается"?
Например, уменьшив TTL останавливающихся задач или просто как-то экстренно их остановить.
Например, уменьшив TTL останавливающихся задач или просто как-то экстренно их остановить.
А с агентом что? Все нормально, а задачи висят?
Я бы попробовал агента удалить..
Я бы попробовал агента удалить..
Z
Подскажите, пожалуйста, можно ли сбросить задачи, которые сейчас находятся в статусе "Завершается"?
Например, уменьшив TTL останавливающихся задач или просто как-то экстренно их остановить.
Например, уменьшив TTL останавливающихся задач или просто как-то экстренно их остановить.
о как) я не один такой?
e
Сейчас агенты доступны, задачи висят.
Но была странная ситуация, что после корявенького обновления (пришлось делать восстановление Core) до R22 часть параметров задач поехало (в общем списке задач отображались корректные значения профиля и УЗ, а в режиме редактирования задачи они сбросились на null).
Спасибо! Попробую удалить агента.
Но была странная ситуация, что после корявенького обновления (пришлось делать восстановление Core) до R22 часть параметров задач поехало (в общем списке задач отображались корректные значения профиля и УЗ, а в режиме редактирования задачи они сбросились на null).
Спасибо! Попробую удалить агента.
Z
Сейчас агенты доступны, задачи висят.
Но была странная ситуация, что после корявенького обновления (пришлось делать восстановление Core) до R22 часть параметров задач поехало (в общем списке задач отображались корректные значения профиля и УЗ, а в режиме редактирования задачи они сбросились на null).
Спасибо! Попробую удалить агента.
Но была странная ситуация, что после корявенького обновления (пришлось делать восстановление Core) до R22 часть параметров задач поехало (в общем списке задач отображались корректные значения профиля и УЗ, а в режиме редактирования задачи они сбросились на null).
Спасибо! Попробую удалить агента.
Так же было
e
о как) я не один такой?
На R22 появилось или раньше?
Z
На R22 появилось или раньше?
на р21 так началось
e
Так же было
Пошел спать, а с утра всё норм стало? )
Z
накатил апдейт на 22 - в профилях пропали УЗ
Z
Пошел спать, а с утра всё норм стало? )
нет до сих пор еб...
Z
в саппорте тикет