NA
Всех с наступающим! Пусть в Новом году у вас не будет нерешаемых задач!
Size: a a a
2019 December 23
2019 December 24
A
10.41 видел последний раз, сейчас обновил до 10.42 - посмотрим
Посмотрел, та же беда. Пайпы после ребута есть, логов нет. Переустановил с тем же конфигом, ребутнался, сразу 160 событий создания\коннекта пайпов (17\18). В общем пока выгялдит не особо надежно ;(
A
Посмотрел, та же беда. Пайпы после ребута есть, логов нет. Переустановил с тем же конфигом, ребутнался, сразу 160 событий создания\коннекта пайпов (17\18). В общем пока выгялдит не особо надежно ;(
Ребут может повлиять на многое. Рестар службы sysmon64 помогает? Я думаю что проблема может не в sysmon
A
В следующий раз попробую олько ее рестартануть, но даже полный ребут не фиксит ситуацию, так что думаю наврядли поможет. Можетбыть проблема и не в сисмон, но в целом это чистая Win2012R2 в домене, состоящем из одного DC. И уже на этом стенде все отваливается.
$
В следующий раз попробую олько ее рестартануть, но даже полный ребут не фиксит ситуацию, так что думаю наврядли поможет. Можетбыть проблема и не в сисмон, но в целом это чистая Win2012R2 в домене, состоящем из одного DC. И уже на этом стенде все отваливается.
А она ещё жива по обновлениям?
A
А она ещё жива по обновлениям?
В рамках расширенной поддержки. В любом случае, многие еще на ядре 6.2 сидят, типа Win7, а 2012r2 даже повыше, 6.3 ядро. Так что пока ИТ не мигрировала с этой билиберды, придется с ней возиться. А это надолго, как обычно ;)
$
В рамках расширенной поддержки. В любом случае, многие еще на ядре 6.2 сидят, типа Win7, а 2012r2 даже повыше, 6.3 ядро. Так что пока ИТ не мигрировала с этой билиберды, придется с ней возиться. А это надолго, как обычно ;)
Ну может сисмон на ней поэтому и косячит?
Другие версии не проверяли?
Другие версии не проверяли?
A
на 2016 то же самое
A
Просто с ней реже работаю, поэтому меньше фидбека ;) На пару раз было уже и там
$
Просто с ней реже работаю, поэтому меньше фидбека ;) На пару раз было уже и там
Ясно(
A
Я как лютый ненавистник всего масдайного предположу что дело в система wineventlog
A
возможно косячит ETW, но при этом в виндовые события, например, 4688 падает, когда в журнал сисмона 1 молчит
A
в любом случае, это обертки на ETW, возможно какой-то постпроцессинг атомарных ETW не отрабатывает
A
ну и тут скорее даже не вопрос, кто виноват, так глубоко я все равно не полезу, а что с этим делать, вплоть до отказа от sysmon, если он так внезапно и без сигналов может отвалиться...
$
ну и тут скорее даже не вопрос, кто виноват, так глубоко я все равно не полезу, а что с этим делать, вплоть до отказа от sysmon, если он так внезапно и без сигналов может отвалиться...
Ну как тебе сказать...
Сисмон не контролирует сам себя
Не контролирует целостность, запуск, прекращение...
На него можно рассчитывать, но...
Сисмон не контролирует сам себя
Не контролирует целостность, запуск, прекращение...
На него можно рассчитывать, но...
A
Ну, это то понятно из коробки. Любой коммерческий EDR лучше будет.
A
А вот дополнительные финты это уже за гранью принятия рисков ;)
$
А вот дополнительные финты это уже за гранью принятия рисков ;)
Осквери погонять?))
$
Ну, это то понятно из коробки. Любой коммерческий EDR лучше будет.
Не факт
A
Говорят он попрожорливее + выделенную БД на каждую клиентскую машину, пусть и lightweight ставить, дело не очень благодарное ;) Я больше в сторону велоцирптора смотрю, он вроде поживее осквери, покрайней мере новостей о развитии побольше, но это будет, возможно, следующий этап