Z
вот как детектить перенаправленную авторизацию по ntlm если не везде включена проверка подписи smb пакета
Size: a a a
2018 June 21
Z
😁короче у меня есть что добавить позитивам
B
В Д
Все сильно зависит от того, что называть первой линией и как её строить. Потому что первый год просыпаться среди ночи от сработки сценария по ti и в выходные разбираться с подозрительно массовым спросом паролей - прикольно, а потом становится несколько неприятно
А что фундаментально мешает сделать 24х7 вторую? Аналитиков 2-ой с опытом работы в мониторинге не много, но если знать где искать то можно сладко спать и без первой
Z
как детектить обращение к фейковому smb серверу...
Z
средствами сиема
ВД
А что фундаментально мешает сделать 24х7 вторую? Аналитиков 2-ой с опытом работы в мониторинге не много, но если знать где искать то можно сладко спать и без первой
А что тогда будет делать первая? :) возвращаемся к вопросу, кто что понимает под первой линией
e
как детектить обращение к фейковому smb серверу...
Сделать белый список легитимных шар и детектить отклонения от них. Например, по событиям винды или по сетевым коннектам.
Z
Сделать белый список легитимных шар и детектить отклонения от них. Например, по событиям винды или по сетевым коннектам.
тоже интересно, да. забить в табличный список и натравить корреляцию
Z
ntlm увести как не чего делать
e
тоже интересно, да. забить в табличный список и натравить корреляцию
Так любые фейковые сервера можно детектить)
*шепотом* например, DC Shadow )
*шепотом* например, DC Shadow )
Z
dcshadow у меня не сработал
Z
e
dcshadow у меня не сработал
Админы спалили?
Z
нет
Z
не регнулся он почему то
e
Или корреляция не сработала?
Z
ошибку мимикатз выплюнул
Z
завтра буду еще пробовать
Z
я так соблюдение парольной политики проверяю без участия админов