Основные блоги b.Z » Все блоги » Про интернет » Профилируем события Sysmon при внедрении в инфраструктуру

Профилируем события Sysmon при внедрении в инфраструктуру

Все блоги / Про интернет 9 мая 2022 851   
Смотреть в Telegram Поделиться в TG

Если Вы опытный инженер SOC и настраивали уже несколько раз мониторинг инфраструктуры с нуля, то врядли найдете для себя что-то новенькое. Всех остальных приветствую в своей первой статье).

Одним прекрасным утром прилетела задача внедрить Sysmon вчера срочно. Естественно, первым, что я сделал зашел на github и нашел сборник конфигурационных файлов для sysmon. Выбрал тот, который понравился (имел больше отзывов и звезд).

После внедрения найденного конфига (естественно без предварительного анализа) обнаружил, что есть, то чего не должно быть и нет того, что ожидал увидеть.

Читать далее

Источник: Хабрахабр

  • Оцените публикацию
  • 0

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья
следующая статья

Похожие публикации

Еще один способ увидеть коммуникации приложений

Добрый день, коллеги. Как известно, есть очень полезная утилита — sysmon. В двух словах, она позволяет вам собирать и "логировать" события, происходяшие в Windows. Одним из таких событий является попытка установить сетевое соединение. Таким образом, можно попытаться узнать, куда ходят ваши

подробнее »
4 октября 2018
[Перевод] Руководство по анализу Sysmon-угроз, часть 2. Использование данных из Sysmon-событий для выявления угроз

Эта статья является первой частью серии по анализу Sysmon-угроз. Все остальные части серии: Часть 1. Знакомство с анализом логов Sysmon Часть 2. Использование данных из Sysmon-событий для выявления угроз (мы тут) Часть 3. Углубленный анализ Sysmon-угроз с помощью графов В этом разделе мы углубимся

подробнее »
8 июля 2020
[Перевод] Руководство по анализу Sysmon-угроз, часть 3. Углубленный анализ Sysmon-угроз с помощью графов

Эта статья является третьей, и финальной, частью серии по анализу Sysmon-угроз. Все остальные части серии: Часть 1. Знакомство с анализом логов Sysmon Часть 2. Использование данных из Sysmon событий для выявления угроз Часть 3. Углубленный анализ Sysmon-угроз с помощью графов (мы тут) Читать дальше

подробнее »
15 июля 2020
Sysmon теперь может записывать содержимое буфера обмена

О релизе 12 версии Sysmon сообщили 17 сентября на странице Sysinternals. На самом деле в этот день вышли также новые версии Process Monitor и ProcDump. В этой статье я расскажу о ключевом и неоднозначном нововведении 12 версии Sysmon — типе событий с Event ID 24, в который логируется работа с

подробнее »
21 сентября 2020
[Перевод] Руководство по анализу Sysmon-угроз, часть 1

Эта статья является первой частью серии по анализу Sysmon-угроз. Все остальные части серии: Часть 1. Знакомство с анализом логов Sysmon (мы тут) Часть 2. Использование данных из Sysmon событий для выявления угроз Часть 3. Углубленный анализ Sysmon-угроз с помощью графов Если вы занимаетесь

подробнее »
30 июня 2020
Windows vs Sysmon

На последней конференции ZeroNights, в ходе неформального общения со своими коллегами по цеху — инженерами систем мониторинга, нам был задан простой на первый взгляд вопрос — распространено мнение, что для полноценного мониторинга эндпоинта с ОС Windows необходимо использовать Sysmon, а так ли это?

подробнее »
6 марта 2020
Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии