HT
спс, а сравнения погуглю
На хабре было недавно
Ну вот BaseFlushAppcompatCache виндовый аудит в наших экспериментах не ловил. Sysmon я не проверял, но наш эндпойнт всё видел, так что я бы и от сисмона этого ждал,
Проверить - пара минут
Size: a a a
2020 March 25
RS
Явно на разных уровнях инъекция логирования делается
HT
BaseFlushAppcompatCache? Что имеется ввиду под этим? Затирания ветки реестра AppCompatCache ?
RS
Да. Прямым вызовом этой WinAPI функции. Можно прямо через rundll32
HT
Сисмоном это точно не увидеть
RS
Жаль, раз так
Z
На хабре было недавно
Вот тут мы с коллегами постарались описать https://m.habr.com/ru/post/489050/
JD
Вот тут мы с коллегами постарались описать https://m.habr.com/ru/post/489050/
да, как раз нагуглил. Отличная статья. Спасибо!
JD
S
Коллеги, есть здесь специалисты кто работает с MP SIEM в качестве "офицера безопасности"?
$
Sergey
Коллеги, есть здесь специалисты кто работает с MP SIEM в качестве "офицера безопасности"?
Полно тут таких.
Хорошо сформулированный вопрос повышает шансы на получение ответа
Хорошо сформулированный вопрос повышает шансы на получение ответа
S
Полно тут таких.
Хорошо сформулированный вопрос повышает шансы на получение ответа
Хорошо сформулированный вопрос повышает шансы на получение ответа
А вот с этим у меня всегда проблемы) Хотелось бы спросить как коллеги работают с инцидентами. Т.е. кому передают и как, через встроенные механизмы или через Сервис деск например, или у самих есть необходимый уровень доступа и квалификация чтобы с ними разбираться.
$
Sergey
А вот с этим у меня всегда проблемы) Хотелось бы спросить как коллеги работают с инцидентами. Т.е. кому передают и как, через встроенные механизмы или через Сервис деск например, или у самих есть необходимый уровень доступа и квалификация чтобы с ними разбираться.
Эти вопросы проще разработчикам задать - у них статистика юзкейсов больше.
@vbengin толкни кого-нибудь плз)
@vbengin толкни кого-нибудь плз)
S
$
Sergey
Разработчики как и интеграторы не в курсе таких моментов. Их дело чтобы все работало.
Ошибаетесь
v
У нас все сейчас пьют перед каникулами!
v
Sergey
А вот с этим у меня всегда проблемы) Хотелось бы спросить как коллеги работают с инцидентами. Т.е. кому передают и как, через встроенные механизмы или через Сервис деск например, или у самих есть необходимый уровень доступа и квалификация чтобы с ними разбираться.
1. Кому передают и что?
v
2. если у вас большая служба иб, с 1-2-3 линиями, и все красиво хотя бы на бумаге в кадрах. То вам поднимать джиру и крутить там плейбуки. Ну или покупать коммерческое решение чисто под irp soar и вот это вот все.
v
3. Если в организации в ИБ , а особенно в разборе инцидентов что то понимает 1-2-3 человека то можно смело пользовать встроенный механизм уведомления, назначения , обработки инцидентов никуда не передавая.