Записки админа

Введение Wazuh — мощная открытая платформа для мониторинга безопасности, обнаружения угроз и соответствия нормативным требованиям. Но по умолчанию она отправляет алерты только в логи или SIEM-систему. Что делать, если вы хотите оперативно получать уведомления в Telegram и автоматически создавать задачи в Bitrix24 при критических событиях — например, при изменении членства в группе администраторов или блокировке учётной записи? В этой статье мы рассмотрим, как: Настроить кастомные правила Wazuh для отслеживания событий Active Directory и Kaspersky Security Center Написать универсальный скрипт...

В современных условиях безопасности ИТ-инфраструктуры централизованный сбор и анализ логов — не просто полезная практика, а необходимость. Если вы используете Kaspersky Security Center (KSC) и хотите передавать его события в систему SIEM на базе Wazuh, данная статья поможет вам быстро и корректно настроить интеграцию через протокол TCP на порту 2514. Выполните следующие команды на сервере Wazuh: sudo mkdir -p /var/log/ksc sudo touch /var/log/ksc/siem.log sudo chown syslog:wazuh /var/log/ksc/siem.log sudo chmod 644 /var/log/ksc/siem.log Эти команды: Создайте конфигурационный файл для rsyslog: sudo nano /etc/rsyslog...

Итак если нам необходимо найти письма по содержанию, теме, отправителю, либо получателю, у конкретного пользователя и переслать найденные результаты на другой Email, выполняем следующие шаги. Ваша учетная запись должна состоять как минимум в группе безопасности Discovery Management. (Члены этой группы ролей управления могут осуществлять поиск данных, соответствующих определенному критерию, в почтовых ящиках в организации Exchange...

Часто при подключении к POP3, IMAP, возникают такие ошибки: Microsoft.Exchange.Monitoring.ProtocolException: Authentication failed. The connection is being closed. Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host.Server response while making connection:[]. ---> System.IO.IOException: Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. ---> System.Net.Sockets.SocketException:...