К
не купили, а взяли ELK, и наняли двух аналитиков и разработчика.
Size: a a a
2019 November 15
A
get/post/put
A
Предполагаю get, но инфа далеко не 100%
К
get/post/put
дампите в pcap. и смотрите в вайршарке, например... там всё разберёт и покажет
A
Не могу сюда закинуть вайершарк или отсюда пкап забрать
A
В этом и проблема
A
Вижу только огромный xml в исходящем запросе кидается
К
тогда играйтесь с опциями tcpdump-а
A
весь пакет через -A -s0 отображать должно, но в заголовке все равно не человекочитаемые символы при этом
A
да копать то понятно куда, вопрос времени, не думаю, что я первый, кто курлом пыается запрос такой кинуть
RI
A
Все таки предлагаю банить за бояны, под видом фотожаб
AL
Руслан засада пришла откуда не ждали. Тебя не ПТ забанит, а Солар 😊
RI
Похоже на то.
$
Изначально в Windows заложено достаточное количество механизмов, позволяющих помочь при расследовании, главное знать где и что искать.
Аудитор из Нидерландов Huy Kha (переводить не буду) опубликовал свой плейбук, демонстрирующий работу с событиями Windows и бесплатными утилитами вроде Sysmon. Вдвойне приятно, что вся информация структурирована на основе базы знаний MITRE ATT&CK TTP. Цель документа — вдохновить вас использовать эту информацию и загружать ее в ваши SIEM-системы и не только.
Пригодится для: форензиков, SIEM и SOC аналитиков и Blue Team.
Ну и в завершении еще раз напомню, что перед вами документ от Huy Kha (простите, не удержался).
Аудитор из Нидерландов Huy Kha (переводить не буду) опубликовал свой плейбук, демонстрирующий работу с событиями Windows и бесплатными утилитами вроде Sysmon. Вдвойне приятно, что вся информация структурирована на основе базы знаний MITRE ATT&CK TTP. Цель документа — вдохновить вас использовать эту информацию и загружать ее в ваши SIEM-системы и не только.
Пригодится для: форензиков, SIEM и SOC аналитиков и Blue Team.
Ну и в завершении еще раз напомню, что перед вами документ от Huy Kha (простите, не удержался).
Z
Изначально в Windows заложено достаточное количество механизмов, позволяющих помочь при расследовании, главное знать где и что искать.
Аудитор из Нидерландов Huy Kha (переводить не буду) опубликовал свой плейбук, демонстрирующий работу с событиями Windows и бесплатными утилитами вроде Sysmon. Вдвойне приятно, что вся информация структурирована на основе базы знаний MITRE ATT&CK TTP. Цель документа — вдохновить вас использовать эту информацию и загружать ее в ваши SIEM-системы и не только.
Пригодится для: форензиков, SIEM и SOC аналитиков и Blue Team.
Ну и в завершении еще раз напомню, что перед вами документ от Huy Kha (простите, не удержался).
Аудитор из Нидерландов Huy Kha (переводить не буду) опубликовал свой плейбук, демонстрирующий работу с событиями Windows и бесплатными утилитами вроде Sysmon. Вдвойне приятно, что вся информация структурирована на основе базы знаний MITRE ATT&CK TTP. Цель документа — вдохновить вас использовать эту информацию и загружать ее в ваши SIEM-системы и не только.
Пригодится для: форензиков, SIEM и SOC аналитиков и Blue Team.
Ну и в завершении еще раз напомню, что перед вами документ от Huy Kha (простите, не удержался).
Норм, почитать
$
Норм, почитать
Тоже так подумал)
$
Ну и Руслан нужно спасать)
A
Alexey Lukatsky
Руслан засада пришла откуда не ждали. Тебя не ПТ забанит, а Солар 😊
Я не про Руса!
A
