Comments 6
кажется что статья написана ради статьи :)
достаточно сказать
kesl-control -set-set 17 BlockAttackingHosts=No и спокойно разбираться не привлекая внимание санитаров и девопсин.
и да, --set-settings работает на лету в 99% случаев, рестартить таску/продукт не надо.
и, запихав в эксклюды вы пропустите все атаки, в тч "ложно-положительные"
Привет. Спасибо за хинт с BlockAttackingHosts=No, кажется прикольным вариантом если форвардить алерты в SEIM чтобы не пропустить что-то в проде, протестим.
> --set-settings работает на лету в 99% случаев,
Жаль, что вы не работаете в техподдержке ЛК %)
Однако:
1. Задача в т.ч. была выяснить корневую причину срабатывания, т.е. на какой трафил Каспер агрится. Просто отключив блокировку ты получишь только лог с набором 4х унылых cve-х (да простят меня экс-коллеги из АМР и Грейта) которые слабо соотносятся с реальными чеками
2. В условиях был "большой госзаказчик" где внесение изменений без "санитаров и девопсин" привлечет внимание не только санитаров. Но и лесников. Ну те, которые всех разогнали. Поэтому нужно было воспроизвести на стенде и прочекать стоковые и кастомные чеки. Так родился Нюк-Нюк
3. У Нюк-Нюка появилось и другое применение - спамить Нуклей-кидди. И еще классный маскот, вот :)
>и, запихав в эксклюды вы пропустите все атаки, в тч "ложно-положительные"
все так, прочекаем в связке с siem и фильтрацией алертов от пробника.
Спасибо!
кажется прикольным вариантом если форвардить алерты в SEIM чтобы не пропустить что-то в проде, протестим.
к сожалению штатным сиемом это не шлется, только из КСЦ, как видно из текста у вас его как-то неочень.
Задача в т.ч. была выяснить корневую причину срабатывания .... да простят меня экс-коллеги из АМР и Грейта
ну раз вы все знаете, то можно было написать на newvirus@ :) там бы сразу сказали
Нюк-Нюк в эктоплазме дружелюбного Каспера