P
В последних версиях - кардинальные
Size: a a a
2020 February 10
АГ
Спасибо, а где-то можно про них почитать? Сравнений не встречали? Гугл мне что-то не помог.
AL
Александр Гаврилов
Коллеги, добрый день. Подскажите кто-нибудь видел Ankey SiEM? Какие отличия от ArcSight?
А вы про какую версию Ankey SIEM говорите? 1-я и 2-я вроде как на разных SIEMах построены
АГ
Alexey Lukatsky
А вы про какую версию Ankey SIEM говорите? 1-я и 2-я вроде как на разных SIEMах построены
Мне для общего развития и понимания можно и по двум версиям информации накидать.
AL
Ankey NG - это MaxPatrol
АГ
Спасибо
V
не смогу ответить. но если timelines могет строить фильтры то что-то типа AND NOT *$ должно помочь
Коллеги спасибо огромное Вам. Очень помогли.
V
У кого-то получилось в бесплатной версии каким-нибудь алерты настроить? В телегу или на почту.
MC
Коллеги, кто сталкивался, какого типа алерты можно пересылать в сием с Microsoft Defender ATP? Это то же, что и Azure ATP или что-то другое?
2020 February 11
JD
Ребят, как правильно с точки зрения построения детектирования сетевых аномалий настроить SMB?
1. SMBv3 точно лучше v2
2. Весь трафик лучше подписывать
3. А вот шифрование получается нужно отключать чтобы можно было ловить сетевые аномалии внутри SMB? или есть вариант как-то дешефровать трафик на IPS?
1. SMBv3 точно лучше v2
2. Весь трафик лучше подписывать
3. А вот шифрование получается нужно отключать чтобы можно было ловить сетевые аномалии внутри SMB? или есть вариант как-то дешефровать трафик на IPS?
IB
Ребят, как правильно с точки зрения построения детектирования сетевых аномалий настроить SMB?
1. SMBv3 точно лучше v2
2. Весь трафик лучше подписывать
3. А вот шифрование получается нужно отключать чтобы можно было ловить сетевые аномалии внутри SMB? или есть вариант как-то дешефровать трафик на IPS?
1. SMBv3 точно лучше v2
2. Весь трафик лучше подписывать
3. А вот шифрование получается нужно отключать чтобы можно было ловить сетевые аномалии внутри SMB? или есть вариант как-то дешефровать трафик на IPS?
По моему, расшифровка трафика это не обязательное условие для детектирования сетевых аномалий
JD
ну, конечно не обезательное. Ну и кино можно смотреть через мутное стекло. Но ты не увидишь всю глубину картинки
JD
тем более я говрю не про вообще все аномалии, а про конкретно аномалии в SMB
IB
тем более я говрю не про вообще все аномалии, а про конкретно аномалии в SMB
Если СМБ используется для доступа к файлам, то лучше контролировать доступ к данным на уровне файлового сервера и запретить ее компам обмениваться файлами друг с другом
JD
Если СМБ используется для доступа к файлам, то лучше контролировать доступ к данным на уровне файлового сервера и запретить ее компам обмениваться файлами друг с другом
спасибо за идею про хардеринг.
A
Не понял. Вы выбираете версию софта не под задачи бизнеса, а под задачи иб?!
A
Так можно?
$
Anton
Не понял. Вы выбираете версию софта не под задачи бизнеса, а под задачи иб?!
Не версию, а софт
$
И есть такое понятие как core IS