Z
эт спамеры
Size: a a a
2020 July 03
Z
5145 нормализацию
Z
переделывали?
Z
имя файла было в d2
Z
на днях заметил оно внезапно в d4
e
При этом в часть системных корреляций внесли эти изменения, но не везде.
¯\_ツ_/¯
¯\_ツ_/¯
e
object.path - ReadData...
Так и должно быть!
Так и должно быть!
e
Как раз после этого я зарёкся не устанавливать обновы ПТКБ без предварительного диффа всего контента.
Z
object.path == "\\??\\C:\\Windows" and
string(regex(lower(datafield2), ".*exe$", 0)) != null
string(regex(lower(datafield2), ".*exe$", 0)) != null
Z
и тут я отправился нахер)))
MM
Подскажи название правила, пожалуйста
e
Подскажи название правила, пожалуйста
Привет!
На скрине правило - Unusual_AdminShare_or_NamedPipe_Access
Но оно не одно такое.
На скрине правило - Unusual_AdminShare_or_NamedPipe_Access
Но оно не одно такое.
e
Например, ещё Remoting_Possibly_malicious_file_copied
e
В фильтре - норм
MM
Привет!
На скрине правило - Unusual_AdminShare_or_NamedPipe_Access
Но оно не одно такое.
На скрине правило - Unusual_AdminShare_or_NamedPipe_Access
Но оно не одно такое.
Спасибо! Обязательно посмотрим
e
e
Спасибо! Обязательно посмотрим
Хотел отправить вам в виде дока, но ув Zer0way опередил с оповещением )
Z
Упс
Z
Все фигня, обидно что не предупредили