Профилируем события Sysmon при внедрении в инфраструктуру

Если Вы опытный инженер SOC и настраивали уже несколько раз мониторинг инфраструктуры с нуля, то врядли найдете для себя что-то новенькое. Всех остальных приветствую в своей первой статье).

Одним прекрасным утром прилетела задача внедрить Sysmon вчера срочно. Естественно, первым, что я сделал зашел на github и нашел сборник конфигурационных файлов для sysmon. Выбрал тот, который понравился (имел больше отзывов и звезд).

После внедрения найденного конфига (естественно без предварительного анализа) обнаружил, что есть, то чего не должно быть и нет того, что ожидал увидеть.

Читать далее

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• [Перевод] Обход двухфакторной аутентификации в публичной баг-баунти программе: путь к $6000
• Кратко про XHTTP для VLESS: что, зачем и как
• [Перевод] Как я нашёл уязвимость в ядре Linux при помощи модели o3
• SelfCoerce для локального повышения привилегий на Windows 10
• Теория мертвого 2GIS
• Постквантовые криптостандарты США на алгоритмы электронной подписи на основе хеш-функций с сохранением состояния
• Новые возможности менеджера секретов Deckhouse Stronghold: пространства имён, резервные копии и репликация данных
• [Перевод] Single Sign-On c OpenAM и OpenIG: практические примеры реализации
• Безопасность по ГОСТу: процесс интеграции HSM отечественного производства
• Каких коммуникаторов не хватает PR-индустрии?