Astra Linux. Список ПО для устранения уязвимостей. Часть 1.

Приветствую, уважаемый читатель!

С недавнего времени в России наконец-то наступила пора импортозамещения ПО. При всех очевидных плюсах данной работы, наружу вылезли большие и мелкие технические проблемы - совместимость ПО, централизованное управление ПО, разные настройки, вытирание слёз пользователей и т.д. Большие проблемы решаются в рамках больших контрактов с вендорами, а вот маленькие проблемы приходится решать самостоятельно и быстро.

Одна из очевидные проблем - централизованный учёт всех установленных пакетов в ОС (например, Astra Linux) для поиска уязвимых пакетов и дальнейшего устранения уязвимостей. 

Кому интересно, добро пожаловать :)  

[Fast] Журналы Windows для выявления подозрительной активности

 Приветствую, уважаемый читатель!

Когда речь заходит о расследовании инцидентов ИБ в Windows сетях/системах, то в голове сразу мелькает мысль - зайду и поизучаю логи "Security", "Application", "System", там всё будет. Но если их специально стёрли или они сами себя потёрли со временем, то куда смотреть? Есть пара мыслей на этот счёт)

Splunk. Передача времени события внутри JSON-объекта

 Приветствую, уважаемый читатель!

Для того чтобы передать время возникновения события в отдельном поле JSON-объекта через Splunk HTTP-коллектор необходимо формировать события в следующем виде (пример на PS):

$JSONDoc = @"
{
"sourcetype":"LOGS",
"time":"$indextime",
"event":{
"Message":"Поле1",
"EventId":"Поле2"
.......

В поле time необходимо указать время возникновения события в UnixEpoch Time. С какой-то версии Splunk по другому не получится.

В PS получить время в таком формате можно с помощью командлета New-TimeSpan: 

(New-TimeSpan -Start (get-Date "01/01/1970") -End $EventTime).TotalSeconds

Если этого не сделать и Splunk не распознает время в JSON-объекте, то временем индексации события будет время получения события сервером Splunk. HTTP-коллектор это не Syslog, так что это может доставить кучу проблем. Хотя и с Syslog не так всё просто.....

[Fast] Подключение Secret Net Studio 8.5 к Splunk

 Приветствую, уважаемый читатель!

Сегодня постараюсь быстро рассказать - как можно (один из способов) подключить централизованные журналы СЗИ НСД Secret Net Studio к Splunk. Сразу скажу, вопрос настройки передачи событий в real-time у меня в настоящее время не стоит :)

[Fast] Splunk. Перенос конфигурации после переустановки

 Приветствую, уважаемый читатель!

Сегодня расскажу, на что обратить внимание при условно-бесплатном использовании Splunk (т.е. когда раз в 2 месяца необходимо переставлять Enterprise версию). Любителям халявы, ну или кому нужен постоянно работающий Splunk DB Connect ниже J

 

[Fast] IP пользователей OpenVPN (белый + серый)

Приветствую, уважаемый читатель!

Понадобилось связать публичный IP клиента OpenVPN и выданный ему серый IP. Запрос на SPL и пояснения ниже.

Немного «боли» в коммерческой тайне

Приветствую, уважаемый читатель!

Хочу поделиться парой мыслей по поводу защиты коммерческой тайны в компаниях. Пост будет совсем не технический :)