Comments 4
Мы начали агенты OSSEC использовать, но опечалились их глючностью (далеко не на всех станциях даже запустилось нормально). У вас схожая причина перехода к альтернативе?
0
В итоге пришли к решению, когда логи на Windows генерирует SYSMON, а OSSEC используем для транспорта в SIEM. Кейс под Splunk уже доступен в нашей коммерческой библиотеке, портирование на ArcSight и QRadar выполним в ближайший месяц-два.
0
С таким пока не сталкивался. На моей практике OSSEC очень хорошо себя показывал.
WMI плагин в том виде как он есть сейчас работает на мой взгляд очень не стабильно увы ((
А пробовал я данный подход т.к. было требование реализовать именно сбор событий без агентов.
WMI плагин в том виде как он есть сейчас работает на мой взгляд очень не стабильно увы ((
А пробовал я данный подход т.к. было требование реализовать именно сбор событий без агентов.
+1
Sign up to leave a comment.
OSSIM. WMI плагины с хрустящей корочкой. Рецепт