Z
)))
Size: a a a
2018 June 21
v
нуу за такие бабки пусть теперь саппорт пт разбирается что они там в правилах нахеравертили
Вот это слова ентерпрайз клиента! Правильный подход :)
Z
ну правда) счет выставляют без косяков в реквизитах и сумме, пора бы их потрясти
v
Я вообще без сарказма. Ведь и делать продукт без обратной связи тоже сложно. Тряси!
A
Philip Morris
Prelude кто нибудь использует?
Да
EB
сейчас ткнул брутфорс рдп по логину администратор, получил инцидент по правилу
Bruteforce_success_to_dst. Удивляюсь и захожу в события. брутфорсил учетку administrator, во время брутфорса залогинился другой пользователь и сием решил что это брут успешно отработал
Bruteforce_success_to_dst. Удивляюсь и захожу в события. брутфорсил учетку administrator, во время брутфорса залогинился другой пользователь и сием решил что это брут успешно отработал
И тут все начинают понимать, зачем первая линия и что такое false/не false чисто на бытовом уровне
Z
Я вообще без сарказма. Ведь и делать продукт без обратной связи тоже сложно. Тряси!
сейчас вчерашнее твое правило проверю
Z
И тут все начинают понимать, зачем первая линия и что такое false/не false чисто на бытовом уровне
эта первая линия должна обладать очень хорошим багажом знаний и изумительным пониманием что вообще может происходить и как проводят атаки
Z
а это уж простите, роскош
Z
datafield1 = "this is either due to a bad username or authentication information, user name is correct but the password is wrong"
Z
воот что нужно вставить в правило чтобы уж точно ловить попытки брутфорса а не весь шлак
IH
воот что нужно вставить в правило чтобы уж точно ловить попытки брутфорса а не весь шлак
первая линия может ставить галку и закрывать кейс? ))
Z
первая линия может ставить галку и закрывать кейс? ))
не знаю что может делать 1 линия, у нас она одна)))
Z
@vbengin странно, но вчерашнее Ваше правило молчит
e
datafield1 = "this is either due to a bad username or authentication information, user name is correct but the password is wrong"
Это описание значения "0xc0000064" поля reason, по нему и делается выборка нужных событий.
Z
Это описание значения "0xc0000064" поля reason, по нему и делается выборка нужных событий.
yes, можно и так.
Z
лишь бы не видеть тонны кербероса)
e
Всё же лучше так) поскольку это унифицированный код MS.
e
Kerberos профилируется и нормально ловит злых пентестеров)
Z
Kerberos профилируется и нормально ловит злых пентестеров)
чего сразу злых то