JD
написать свой разборщик pcap и через сырые сокеты пулять в сеть
😃
Size: a a a
2020 February 25
RI
Всем привет. А можно ли как-то pcap файлы преобразовывать в netflow траффик?
$
Руслан Вот эту стену текста из ридми ты зря вбабахал
Кому нужно - тот прочтёт
Кому нужно - тот прочтёт
RI
Ну ок, ты прав.
RI
Из платных ещё можно взять https://www.microolap.ru/products/ethersensor/
ML
Здравствуйте, "свежий" вопрос: а кто-то для чего-то юзает logoff ивенты win? По-моему, нафиг их, но тут в одном месте бытует уверенность, что по ним можно проследить сессию пользователя от и до (как-то слабо коррелирующая с реалиями, на мой взгляд).
Очень хочется выбросить эту кучу ненужных событий.
Очень хочется выбросить эту кучу ненужных событий.
Для сессии пользователя есть отдельное поле в событии)
Пару раз использовал в отчетах события логоффа, но толку с них маловато)
Пару раз использовал в отчетах события логоффа, но толку с них маловато)
y
Всем привет. А можно ли как-то pcap файлы преобразовывать в netflow траффик?
Distill pcap file to NetFlow:
из постера Network Forensics and Analysis Poster (FOR572) [1]
[1] https://digital-forensics.sans.org/media/Poster_Network-Forensics_WEB.pdf
$ nfpcapd -r infile.pcap -S 1 -z -l output_directory/
-r infile.pcap pcap file to read
-S 1 Directory hashing structure for output data (“1” = “year/month/day/)
-z Compress output files
-l output_directory/ Directory in which to place output files
из постера Network Forensics and Analysis Poster (FOR572) [1]
[1] https://digital-forensics.sans.org/media/Poster_Network-Forensics_WEB.pdf
°
Всем спасибо огромное!
DP
Для сессии пользователя есть отдельное поле в событии)
Пару раз использовал в отчетах события логоффа, но толку с них маловато)
Пару раз использовал в отчетах события логоффа, но толку с них маловато)
Thx
AL
Ruslan Ivanov
Из платных ещё можно взять https://www.microolap.ru/products/ethersensor/
А то есть платный Ethersensor ты предложил, а Firepower нет? Он же умеет всасывать pcap и отдавать NSEL 😊
RI
Alexey Lukatsky
А то есть платный Ethersensor ты предложил, а Firepower нет? Он же умеет всасывать pcap и отдавать NSEL 😊
Напрямую - нет. Ну и Ethersensor только для pcap, справедливости ради, бесплатный, емнип
$
Девочки, не ссорьтесь - потру один фиг
m
если задача не на раз и есть более/менее серьзные требования к производительности, то можно еще посмотреть на проект https://www.ntop.org/products/netflow/nprobe/
m
стоит денег, но не больших
2020 February 27
DG
всем привет, поделитесь опытом кто внедрял Microsoft Advanced Threat Analytics, на сколько хорошо оно работает\детектит..?
EP
всем привет, поделитесь опытом кто внедрял Microsoft Advanced Threat Analytics, на сколько хорошо оно работает\детектит..?
R
привет. смотря какие задачи перед ATA ставите - есть хороший функционал выявления повышения до DA и через какие узлы и УЗ, отслеживание ldap simple bind запросов и не только
EP
если кратко - ATA детектит несильно большой скоуп атак на AD, при этом есть немало способов байпаса
DG
если кратко - ATA детектит несильно большой скоуп атак на AD, при этом есть немало способов байпаса
а есть лучшее готовое решение или все сами пилят по углам?
EP
ата хороша как часть защиты, тк исправно покрывает такие атаки как pth или ptt на текущий момент. в остальном все сами пилят
если интересны конкретные последние байпассы - у М-13 был доклад на offzone
https://2019.offzone.moscow/ru/report/using-of-microsoft-advanced-threat-analytics-features-during-redteam/
если интересны конкретные последние байпассы - у М-13 был доклад на offzone
https://2019.offzone.moscow/ru/report/using-of-microsoft-advanced-threat-analytics-features-during-redteam/