Size: a a a

SOС Технологии

2018 August 29

M

Michael in SOС Технологии
Если внезапно стали обсуждать mp siem, то вопрос: зачем в аппаратных требованиях на сервера указаны минимальные требования 4 сетевых карты по 1гбит? При этом в сценариях развертывания или лучших практиках не указано, что теперь на сетевых картах мы делаем bond?
источник

L

Lynx in SOС Технологии
Zer0way
я все тешу себя надеждами, что пофиксят из коробки
Хм, а как из коробки будут питаться ваши мысли?
источник

NA

Nikolai Arefiev in SOС Технологии
Zer0way
я все тешу себя надеждами, что пофиксят из коробки
День добрый. Обновление всех правил по брутфорсу сейчас в работе. Выйдут осенью.
источник

Z

Zer0way in SOС Технологии
Nikolai Arefiev
День добрый. Обновление всех правил по брутфорсу сейчас в работе. Выйдут осенью.
добрый день:) а geoip?;)
источник

Z

Zer0way in SOС Технологии
вроде все есть для geoip из коробки, но geoip нет:(
источник

NA

Nikolai Arefiev in SOС Технологии
К сожалению проставление geoip для любых событий выпало из беклога на этот год :( У нас NAD и Network Sensor сейчас их проставляют. А вы на базе geoip какие кейсы решаете?
источник

Z

Zer0way in SOС Технологии
Nikolai Arefiev
К сожалению проставление geoip для любых событий выпало из беклога на этот год :( У нас NAD и Network Sensor сейчас их проставляют. А вы на базе geoip какие кейсы решаете?
у меня гос. учр. в сием выгрузка с вачгардов и ids, удобно отслеживать соединения/атаки из других стран. Создать например кореляцию с атаками с моего региона и ловить алерты.
источник

NA

Nikolai Arefiev in SOС Технологии
Понял, спасибо!
источник

Z

Zer0way in SOС Технологии
у меня например есть момент сотрудничества со спецслужбами, нужно отправлять атаки по странам
источник

Z

Zer0way in SOС Технологии
собирать с разных сзи не удобно
источник

NA

Nikolai Arefiev in SOС Технологии
Правильно ли я Вас понял, что в таком кейсе геопривязка нужна как в скоррелированых событиях, так и инцидентах? Т.к. отчетность Вы по ним строете, а не по исходным событиям?
источник

Z

Zer0way in SOС Технологии
Nikolai Arefiev
Правильно ли я Вас понял, что в таком кейсе геопривязка нужна как в скоррелированых событиях, так и инцидентах? Т.к. отчетность Вы по ним строете, а не по исходным событиям?
верно
источник

Z

Zer0way in SOС Технологии
будем ждать;)
источник

NA

Nikolai Arefiev in SOС Технологии
Zer0way
верно
Это важно, учтем.
источник

Z

Zer0way in SOС Технологии
Nikolai Arefiev
Это важно, учтем.
допустим я делаю правило корреляции, где geoip.country!=RU and dst.port=3306
источник

Z

Zer0way in SOС Технологии
и все что туда попало и success должно быть в инциденте
источник

Z

Zer0way in SOС Технологии
тоже самое с атаками которые пришли с ids где geoip.city=moscow
источник
2018 August 31

L

Lynx in SOС Технологии
Kirill Mitrofanov 🍁
Подскажите, пожалуйста, менялись ли доступные параметры установки посредством выполнения команды "./configure-install-params -a" при конфигурировании компонента Storage? Если менялись, то на какие значения? Изменялись ли вручную конфигурационные файлы кластера Elastic?
Если конфиги стораджа при развертывании менялись их можно посмотреть в конфиге: /etc/opt/pt/mpsiem-stotage/params.yaml

Мы добавляли в конфиг путь к бэкапу (репозиторий эластика)
источник

L

Lynx in SOС Технологии
Разворачивали систему на никсах снуля, а потом восстанавливали данные из бекапа
источник

KM

Kirill Mitrofanov 🍁 in SOС Технологии
Благодарю!
источник