RS
Больше года работает, проблем с отвалом не видели
сколько серверов и на какой поток?
Size: a a a
2021 January 27
L
У нас год - два назад был один wec, 3-4к источников и порядка 4-5 подписок, наблюдали деградацию входящего eps со временем. Сейчас мониторим количество tcp connections и периодически сервер рестартим :)
L
Ну и конечно желательно разносить нагрузку на несколько серверов
v
ML
Leonid
У нас год - два назад был один wec, 3-4к источников и порядка 4-5 подписок, наблюдали деградацию входящего eps со временем. Сейчас мониторим количество tcp connections и периодически сервер рестартим :)
майки не рекомендуют более 1к источников на 1 WEC
L
майки не рекомендуют более 1к источников на 1 WEC
До 4к на один сервер с 1-2 подписками
L
Ну и конечно в зависимости от скоупа собираемых событий.
L
Коллеги, а кто как реализовывал балансировку клиентов на несколько wec серверов? По контейнерам в AD в нашем случае не очень хороший вариант...
i♓
пилю PS скрипт, который из OUшек выгребает сервачки и по гео признаку засовывает в группы, на которые применены GPO с адресами wec
L
пилю PS скрипт, который из OUшек выгребает сервачки и по гео признаку засовывает в группы, на которые применены GPO с адресами wec
Видимо это лучший вариант...спасибо за идею!
i♓
админы оушками контролируют, куда я могу дотянуться, а я контролирую дестинейшены, куда шлют те, куда дотянулся. все довольно урчат пока.
DS
а WMI фильтрами нельзя подобное сделать? через принадлежность хоста той или иной сети?
i♓
и таким макаром если ты хочешь провести работы на wec, ты можешь побырику все тачки разогнать с него на соседей. и ломать
L
админы оушками контролируют, куда я могу дотянуться, а я контролирую дестинейшены, куда шлют те, куда дотянулся. все довольно урчат пока.
То есть существует возможность вывода из под скоупа настроенных на отправку логов источников, либо при появлении нового OU необходимо руками допиливать скрипт?
АР
Есть мнение, что затея реализовывать задачи UEBA (а профилирование - это как раз оттуда, ИМХО) в SIEM - развлечение ниже среднего.
Была тут идея ловить логины сервисных учёток с нехарактерных (не замеченных раньше) адресов - вроде и работает, но попутно генерит тучу фолсы. А при попытке такое же сделать для пользователей аналитики вообще охренели от количества алертов...
Я не знаю, решает ли УЁБА эту проблему, но бейслайны в СИЕМ - это прям какая-то боль
Была тут идея ловить логины сервисных учёток с нехарактерных (не замеченных раньше) адресов - вроде и работает, но попутно генерит тучу фолсы. А при попытке такое же сделать для пользователей аналитики вообще охренели от количества алертов...
Я не знаю, решает ли УЁБА эту проблему, но бейслайны в СИЕМ - это прям какая-то боль
Попробуй в качестве метрики взять не количество входов, а количество уникальных компьютеров на которые входил пользователь.
Это понятно, что пользователи по 100500 раз в день заходят на одну и ту же шару. А если они заходят по разу, но на разные, то это другое
Это понятно, что пользователи по 100500 раз в день заходят на одну и ту же шару. А если они заходят по разу, но на разные, то это другое
N
сколько серверов и на какой поток?
6 контроллеров домена, более 1000 серверов приперно 5 тысяч рабочих станций. Используем несколько wec коллекторов, каждый подсвой тип устроств
i♓
Leonid
То есть существует возможность вывода из под скоупа настроенных на отправку логов источников, либо при появлении нового OU необходимо руками допиливать скрипт?
конфиг себе настраиваешь с перечнем OUшек, из которых он раскидывает.
>> for ou in oushkas:
появилась новая оушка - изволь добавить в конфиг
segregation of duties . у меня нет прав оперативно пилить GPOшки. я запускаю change на админа. а он делает. поэтому я себе оставляю план БЭ, чтобы оперативно реагировать на изменения в инфраструктуре.
>> for ou in oushkas:
появилась новая оушка - изволь добавить в конфиг
segregation of duties . у меня нет прав оперативно пилить GPOшки. я запускаю change на админа. а он делает. поэтому я себе оставляю план БЭ, чтобы оперативно реагировать на изменения в инфраструктуре.
AK
конфиг себе настраиваешь с перечнем OUшек, из которых он раскидывает.
>> for ou in oushkas:
появилась новая оушка - изволь добавить в конфиг
segregation of duties . у меня нет прав оперативно пилить GPOшки. я запускаю change на админа. а он делает. поэтому я себе оставляю план БЭ, чтобы оперативно реагировать на изменения в инфраструктуре.
>> for ou in oushkas:
появилась новая оушка - изволь добавить в конфиг
segregation of duties . у меня нет прав оперативно пилить GPOшки. я запускаю change на админа. а он делает. поэтому я себе оставляю план БЭ, чтобы оперативно реагировать на изменения в инфраструктуре.
Можно использовать одну политику, только в конфиге прописать что оушки и прочие переменные брать из файликов, в которых все это перечислить и менять по мере необходимости
Как вариант
Как вариант
i♓
Можно использовать одну политику, только в конфиге прописать что оушки и прочие переменные брать из файликов, в которых все это перечислить и менять по мере необходимости
Как вариант
Как вариант
а как использовать одну политику, если политика определяет адрес wec'a?
AK
А пусть политика не настраивает на серверах адрес weca как по мануалу, а запускает скрипт на серверах.
Скрипт смотрит/определяет гео сервака и будет его настраивать куда ему слать
Скрипт смотрит/определяет гео сервака и будет его настраивать куда ему слать