Если внезапно стали обсуждать mp siem, то вопрос: зачем в аппаратных требованиях на сервера указаны минимальные требования 4 сетевых карты по 1гбит? При этом в сценариях развертывания или лучших практиках не указано, что теперь на сетевых картах мы делаем bond?
К сожалению проставление geoip для любых событий выпало из беклога на этот год :( У нас NAD и Network Sensor сейчас их проставляют. А вы на базе geoip какие кейсы решаете?
К сожалению проставление geoip для любых событий выпало из беклога на этот год :( У нас NAD и Network Sensor сейчас их проставляют. А вы на базе geoip какие кейсы решаете?
у меня гос. учр. в сием выгрузка с вачгардов и ids, удобно отслеживать соединения/атаки из других стран. Создать например кореляцию с атаками с моего региона и ловить алерты.
Правильно ли я Вас понял, что в таком кейсе геопривязка нужна как в скоррелированых событиях, так и инцидентах? Т.к. отчетность Вы по ним строете, а не по исходным событиям?
Правильно ли я Вас понял, что в таком кейсе геопривязка нужна как в скоррелированых событиях, так и инцидентах? Т.к. отчетность Вы по ним строете, а не по исходным событиям?
Подскажите, пожалуйста, менялись ли доступные параметры установки посредством выполнения команды "./configure-install-params -a" при конфигурировании компонента Storage? Если менялись, то на какие значения? Изменялись ли вручную конфигурационные файлы кластера Elastic?
Если конфиги стораджа при развертывании менялись их можно посмотреть в конфиге: /etc/opt/pt/mpsiem-stotage/params.yaml
Мы добавляли в конфиг путь к бэкапу (репозиторий эластика)