Эта статья является первой частью серии по анализу Sysmon-угроз. Все остальные части серии:
Часть 1. Знакомство с анализом логов Sysmon
Часть 2. Использование данных из Sysmon-событий для выявления угроз (мы тут)
Часть 3. Углубленный анализ Sysmon-угроз с помощью графов
В этом разделе мы углубимся и начнём использовать детализированную информацию, которую предоставляет нам Sysmon. Вот три основных момента, которые мы будем прорабатывать:
Использование PowerShell для прямого доступа к гранулированной информации о процессах;
Построение и визуализация иерархии процессов – первый важный шаг в поиске угроз;
Использование метаданных Sysmon для формирования важных метрик, полезных при углублённом расследовании угроз, таких как подсчёт частоты, с которой запускаются конкретные процессы.
Читать дальше →Источник: Хабрахабр
Источник: Varonis
Другие материалы на сайте b.Z - Записки о гаджетах, людях и музыке