Size: a a a

MaxPatrol SIEM & VM

2021 November 11

K

Kir in MaxPatrol SIEM & VM
Наткнулся в правилах нормализации на строчку !COND = условие
Как читать это !COND? В документации про ! ничего не нет
источник

c

cinortoce in MaxPatrol SIEM & VM
источник

c

cinortoce in MaxPatrol SIEM & VM
И устаревшим это было ещё в версии 19 )
источник

N

Natali in MaxPatrol SIEM & VM
Добрый вечер подскажите удалось ли решить проблему?
источник

K

Kir in MaxPatrol SIEM & VM
Написали своё правило. Несколько неуклюже, не удалось разобраться с поддержкой заполнения списков из интерфейса, но работает.
источник

N

Natalia in MaxPatrol SIEM & VM
Positive Technologies представили весьма интересные, но вовсе неутешительные результаты анонимного опроса специалистов ИБ, согласно которому целевым атакам подвергались треть российских компаний, а 16% выплатили выкуп.

Фокус-группа исследования охватывала предприятия в сфере финансов, промышленности, ТЭК, образования, телекоммуникаций, здравоохранения, СМИ и госуправления. 44% атак пришлось на финансовые компании, затем следуют ТЭК и госучреждения (33% и 29% соответственно).

Большинство целевых атак проводились после тщательной разведки и в реальности приводили к с таким последствиям, как простой инфраструктуры, нарушение бизнес-процессов и уничтожение или изменение данных.

И, чему вовсе не удивлены: большинство организаций практически не защищены от подобных угроз: нет даже базовых средств защиты, в том числе и антивирусов. Соответствующий обнаружении злоумышленника в сети функционал имеет лишь каждая пятая компания: Sandbox используют 28% опрошенных, системы глубокого анализа трафика (NTA) 27%. Специализированные комплексные решения используют лишь 15% респондентов.

Вместе с тем, исследование отражает и позитивные тренды: все больше компаний начинают осознавать необходимость усиления ИБ и планируют внедрять конкретные средства защиты.

Представители промышленности собираются закупать системы мониторинга событий ИБ SIEM (40%), глубокого анализа трафика - NTA (36%), проверки файлов в изолированной виртуальной среде Sandbox (36%). В финансовой отрасли 40% организаций будут усиливать защиту от целевых атак, используя комплексные решения, а 27% склоняются к решениям для защиты конечных точек EDR и файрволам NGFW.

67% специалистов взяли на вооружение базу MITRE ATT&CK (либо планируют ее применять в работе). Настоятельно рекомендуем ознакомиться с полной версией исследования.
источник

PK

Pavel Korostelev in MaxPatrol SIEM & VM
Молодцы, ща еще наш выйдет
источник
2021 November 12

I

Izya in MaxPatrol SIEM & VM
Добрый день.
Народ подскажите по проводу правила корреляции Unusual_TGS_Request https://pastebin.com/8C2R7eYW (Сеансовый билет (TGS) запрошен впервые за более чем 30 дней)
Но у нас часто отрабатывает данное правило.
Политикой безопасности Kerberos билет действует 8ч.
Нам поправить описание правила корреляции или где то в правиле есть счетчик, я его не нашел?
источник

Э

Эльвира in MaxPatrol SIEM & VM
Добрый день! Подскажите пожалуйста, где в самой программе посмотреть номер лицензий агента. Что бы понять какой агент нужно продлить.
источник

RL

Roman Lukashenko in MaxPatrol SIEM & VM
Добрый день.
Подскажите, на текущий момент, актуальная сертифицированная версия MP SIEM -  23.0.3539?
источник

RS

Roman Sergeev in MaxPatrol SIEM & VM
Да
источник

RL

Roman Lukashenko in MaxPatrol SIEM & VM
спасибо
источник
2021 November 13

А

Александр in MaxPatrol SIEM & VM
Всем добрый день
источник

А

Александр in MaxPatrol SIEM & VM
источник

А

Александр in MaxPatrol SIEM & VM
Имеется такое оповещение, насколько я понял требуется выполнить настройки из инструкции
источник

А

Александр in MaxPatrol SIEM & VM
источник

А

Александр in MaxPatrol SIEM & VM
Соответственно 2 вопроса: 1. Эта настройка влияет сразу на все правила корреляции? 2. Какое максимально возможное пороговое значение выставить, что бы правила не приостанавливались?
источник

Л

Лем ▲🍕 in MaxPatrol SIEM & VM
Добрый день, может быть стоит переписать само правило?
источник

RS

Roman Sergeev in MaxPatrol SIEM & VM
Да, но можно исключить отдельные правила из под действия этого механизма
источник
2021 November 15

АТ

Анна Трохалева... in MaxPatrol SIEM & VM
Можно попробовать настроить белые листы в самом правиле
источник