RI
возможно решение в том чтобы покрыть все детектами на хостах
Именно
Size: a a a
2020 February 11
HT
Ruslan Ivanov
Я вообще сторонник того, чтобы между рабочими станциями в нормальном режиме его не было. Да и к серверам - это тоже скорее устаревшая технология
+
HT
Но к сожалению немного кто так делает, а избавляет это от миллиона проблем
RI
Не пойму тебя. Можешь пояснить?
Смотри, обфусцировать скрипт в транзитном трафике, чтобы он не попал в сигнатуру - вообще не проблема
JD
Ruslan Ivanov
Я вообще сторонник того, чтобы между рабочими станциями в нормальном режиме его не было. Да и к серверам - это тоже скорее устаревшая технология
согласен. на самом деле между хостами я уже запретил. Но ты же не можеш сохранить роботоспобность AD и отключить SMB
HT
Ruslan Ivanov
Смотри, обфусцировать скрипт в транзитном трафике, чтобы он не попал в сигнатуру - вообще не проблема
Я сигнатуры и не предлагал
RI
Но к сожалению немного кто так делает, а избавляет это от миллиона проблем
Именно
RI
Я сигнатуры и не предлагал
Про это Джонни думал, я так полагаю
HT
Я сигнатуры и не предлагал
Речь была про увидеть трафик psexec. Powershell скрипты это о другом
RI
согласен. на самом деле между хостами я уже запретил. Но ты же не можеш сохранить роботоспобность AD и отключить SMB
Могу, конечно же.
RI
Вопрос - устроит ли такая жертва функциональностью все стороны
JD
Ruslan Ivanov
Могу, конечно же.
как GPO будут работать?
HT
Ruslan Ivanov
Могу, конечно же.
Дайте почитать как? На dc в любом случае smb придется оставит
RI
Речь была про увидеть трафик psexec. Powershell скрипты это о другом
Psexec лучше (эффективнее) ловить хостовыми средствами
RI
А ещё лучше - комбинированными
HT
Дайте почитать как? На dc в любом случае smb придется оставит
Рабочие станции на шару sysvol на dc ходят за политиками
RI
Дайте почитать как? На dc в любом случае smb придется оставит
На DC - да
HT
Ruslan Ivanov
Psexec лучше (эффективнее) ловить хостовыми средствами
По трафику тоже норм до тех пор пока не SMBv3 включается
JD
Ruslan Ivanov
Psexec лучше (эффективнее) ловить хостовыми средствами
+1. Но иметь детектирование с разных сторон лучше чем с одной
RI
как GPO будут работать?
Не будут. И много чего ещё 🥺