HT
это пример credentials provider-а
Size: a a a
2020 June 10
SS
для lsass - через свой ssp провайдер или notification pacakge
А Password filter еще не поможет? https://attack.mitre.org/techniques/T1174/
SS
фильтр свой можно написать
HT
Sergey Soldatov
А Password filter еще не поможет? https://attack.mitre.org/techniques/T1174/
Я про него написал выше, notification package это называется еще
R
Я опять пришел с ссылками на тренинг по Microsoft SIEM - теперь двухдневный, с лабами и погружением в язык запросов. Админы, можно запостить?
v
Давай
$
Roman
Я опять пришел с ссылками на тренинг по Microsoft SIEM - теперь двухдневный, с лабами и погружением в язык запросов. Админы, можно запостить?
Править не буду
R
[18-19 июня] Глубокое погружение в Azure Sentinel (теория и практика)
Тренинг предназначен для партнеров и их сотрудников отделов ИБ, желающих изучить возможности облачного SIEM Azure Sentinel и получить навыки практической работы.
Теоретическая часть включает в себя изучение архитектуры системы, подключение источников данных, использование языка запросов KQL для поиска угроз, визуализацию событий с помощью рабочих книг, а также автоматизация реагирования на угрозы.
День 1
https://www.microsoftevents.com/profile/11043466
День 2
https://www.microsoftevents.com/profile/11036455
Тренинг предназначен для партнеров и их сотрудников отделов ИБ, желающих изучить возможности облачного SIEM Azure Sentinel и получить навыки практической работы.
Теоретическая часть включает в себя изучение архитектуры системы, подключение источников данных, использование языка запросов KQL для поиска угроз, визуализацию событий с помощью рабочих книг, а также автоматизация реагирования на угрозы.
День 1
https://www.microsoftevents.com/profile/11043466
День 2
https://www.microsoftevents.com/profile/11036455
AV
Roman
[18-19 июня] Глубокое погружение в Azure Sentinel (теория и практика)
Тренинг предназначен для партнеров и их сотрудников отделов ИБ, желающих изучить возможности облачного SIEM Azure Sentinel и получить навыки практической работы.
Теоретическая часть включает в себя изучение архитектуры системы, подключение источников данных, использование языка запросов KQL для поиска угроз, визуализацию событий с помощью рабочих книг, а также автоматизация реагирования на угрозы.
День 1
https://www.microsoftevents.com/profile/11043466
День 2
https://www.microsoftevents.com/profile/11036455
Тренинг предназначен для партнеров и их сотрудников отделов ИБ, желающих изучить возможности облачного SIEM Azure Sentinel и получить навыки практической работы.
Теоретическая часть включает в себя изучение архитектуры системы, подключение источников данных, использование языка запросов KQL для поиска угроз, визуализацию событий с помощью рабочих книг, а также автоматизация реагирования на угрозы.
День 1
https://www.microsoftevents.com/profile/11043466
День 2
https://www.microsoftevents.com/profile/11036455
блин, я думал ты материалы сразу принес!
R
а какие материалы надо?
R
R
для самостоятельного изучения
R
+ курс по основам языка KQL:
https://www.pluralsight.com/courses/kusto-query-language-kql-from-scratch
https://www.pluralsight.com/courses/kusto-query-language-kql-from-scratch
AV
о, норм :)
2020 June 11
A
Roman
+ курс по основам языка KQL:
https://www.pluralsight.com/courses/kusto-query-language-kql-from-scratch
https://www.pluralsight.com/courses/kusto-query-language-kql-from-scratch
о, кстати. А почему имя KQL заюзали? Такая аббревиатура для языка запросов уже занята достойным образчиком, что за неоднозначность?!
https://www.elastic.co/guide/en/kibana/current/kuery-query.html
https://www.elastic.co/guide/en/kibana/current/kuery-query.html
RS
там не очень ясно, кто первым был
R
Сам язык называется Kusto, он используется не только в Sentinel, появился достаточно давно. https://devblogs.microsoft.com/bharry/introducing-application-analytics/ . Почему именно такое выбрали - ну, думаю на этот вопрос мог бы ответить продуктовый менеджер этого проекта, если бы он был в этом чате :)
V
Коллеги добрый день! Никто не встречал на просторах Интернета полный перечень IP адресов TeamViewer?
NA
Ну и вот "all of our IP addresses have PTR records that resolve to *.teamviewer.com. You can use this to restrict the destination IP addresses that you allow through your firewall or proxy server."