A
Максим Жевнерев
а накидайте ка этот самый простейший фильтр. Вот просто ради интереса. Хотя бы логин и запуск процесса
Максим, это был сарказм
Size: a a a
2019 October 08
МЖ
мне интересны рассуждения тех, что все просто коррелируется даже на логон + процесс. Даже только на винде
A
Максим Жевнерев
мне интересны рассуждения тех, что все просто коррелируется даже на логон + процесс. Даже только на винде
Где тут такое было про простоту?
К
... вентиляторный вечер в сок техно...
r
Максим Жевнерев
мне интересны рассуждения тех, что все просто коррелируется даже на логон + процесс. Даже только на винде
+++
$
... вентиляторный вечер в сок техно...
Извини:) но было слишком тихо)
К
Максим Жевнерев
мне интересны рассуждения тех, что все просто коррелируется даже на логон + процесс. Даже только на винде
дык это ж вообще не корреляция - источник-то один
RI
ябоюсь если нет базового понимания хотелок, то сием это последний приоритет в части иб в организайии, начинать пора с сегментации
Есть пирамида ИБ-зрелости, вот базовая сегментация и контроль доступа как раз в её основании
A
r
Максим Жевнерев
мне интересны рассуждения тех, что все просто коррелируется даже на логон + процесс. Даже только на винде
можно transaction попробовать запилить,я не особо в них силён. Это если в одни логи получится всю инфу завести.
index=windows source="WinEventLog:Security" EventId=4624 OR EventId=4688 OR EventId=567 | transaction startswith="Logon Type" endswith="Modified" maxspan=3m
index=windows source="WinEventLog:Security" EventId=4624 OR EventId=4688 OR EventId=567 | transaction startswith="Logon Type" endswith="Modified" maxspan=3m
w
дык это ж вообще не корреляция - источник-то один
События попыток неудачной аутентификации на тачке под разными учетками. Возникнет при попытке "брутфорса", когда будут перебирать, к примеру, дефолтный пароль в конторе ко всем доменным учеткам.
Источник один, даже event id один.
С точки зрения детекта и генерации алерта, при возникновении такой ситуации есть смысл.. Коррелировать.. агрегировать.. Детектировать..*предложи своё*)
Источник один, даже event id один.
С точки зрения детекта и генерации алерта, при возникновении такой ситуации есть смысл.. Коррелировать.. агрегировать.. Детектировать..*предложи своё*)
r
События попыток неудачной аутентификации на тачке под разными учетками. Возникнет при попытке "брутфорса", когда будут перебирать, к примеру, дефолтный пароль в конторе ко всем доменным учеткам.
Источник один, даже event id один.
С точки зрения детекта и генерации алерта, при возникновении такой ситуации есть смысл.. Коррелировать.. агрегировать.. Детектировать..*предложи своё*)
Источник один, даже event id один.
С точки зрения детекта и генерации алерта, при возникновении такой ситуации есть смысл.. Коррелировать.. агрегировать.. Детектировать..*предложи своё*)
ну это не корреляция, тупой алерт или dashboard item
К
ну это не корреляция, тупой алерт или dashboard item
насколько тупой? тут нужно как минимум различать учетные записи и хосты, с которых идёт обращение + посчитать их число. transaction можно не использовать, но, положа руку на сердце, в примере с процессами без него тоже можно обойтись. значит ли это, что это не корреляция?.. учитывая, что есть мнение, что спланк в корреляцию не умеет вообще - это не может быть корреляцией
r
насколько тупой? тут нужно как минимум различать учетные записи и хосты, с которых идёт обращение + посчитать их число. transaction можно не использовать, но, положа руку на сердце, в примере с процессами без него тоже можно обойтись. значит ли это, что это не корреляция?.. учитывая, что есть мнение, что спланк в корреляцию не умеет вообще - это не может быть корреляцией
в примере wtf не было процессов, только неудачные логины
r
index=windows source="WinEventLog:Security" EventId=4625 | stats count by host, "Account name" | search count > 5
К
в примере wtf не было процессов, только неудачные логины
не процессы ос, сорян. имелось ввиду именно отслеживание процесса логина с помощью transaction
r
не процессы ос, сорян. имелось ввиду именно отслеживание процесса логина с помощью transaction
я бы делал поиск по Security логам (вход+процесс) + join логов из osquery или sysmon за этот же интервал времени
К
index=windows source="WinEventLog:Security" EventId=4625 | stats count by host, "Account name" | search count > 5
а если одни креды к куче хостов?) просто частный случай брутфорса, когда зловумышленнег не из пятого класса среднеобразовательного учреждения
r
поиск входов и новых процесов | join type=left host [ | search index=osquery source=filemon | table _time, host, file, user]К
поиск входов и новых процесов | join type=left host [ | search index=osquery source=filemon | table _time, host, file, user]о, подъехал легкий способ сложить балайку или поймать фолсов обоих типов