DP
Ну в части офисов вот стоит один edr. У него есть свои недостатки. Мягко говоря
Size: a a a
2020 September 03
DP
Но преимуществ больше, если не возлагать абсолютных надежд, это факт
Т
Всем привет.
Есть вопрос по мониторингу самого sysmon нативными средствами винды: достаточно ли следить за событиями завершения процесса и изменением значения ключа реестра с конфигом? Ну и unload driver.
Или есть еще какие-то полезные хитрости?
Есть вопрос по мониторингу самого sysmon нативными средствами винды: достаточно ли следить за событиями завершения процесса и изменением значения ключа реестра с конфигом? Ну и unload driver.
Или есть еще какие-то полезные хитрости?
1)Контролировать остановку драйвера сисмона через событие Sysmon EventID=1 по критерию "fltMC.exe unload".
2) Контролировать сбои в работе службы и драйвера Симона через событие Sysmon EventID=255
2) Контролировать сбои в работе службы и драйвера Симона через событие Sysmon EventID=255
Т
Пишу по памяти, могу немного ошибаться с синтаксисом
DP
Это все то, что я сам и упомянул.
T
А если служба сбойнула, то откуда событие о сбое?) Или я чего-то не понял?
DP
Оно генерится когда драйвер падает, например
DP
То есть при влиянии на сисмон откуда-то "изподвыподверта"
IM
А если служба сбойнула, то откуда событие о сбое?) Или я чего-то не понял?
Event ID 255: Error
This event is generated when an error occurred within Sysmon. They can happen if the system is under heavy load and certain tasked could not be performed or a bug exists in the Sysmon service
This event is generated when an error occurred within Sysmon. They can happen if the system is under heavy load and certain tasked could not be performed or a bug exists in the Sysmon service
T
Круто, но из описания не следует, что это событие появится, если кильнуть процесс
IM
1)Контролировать остановку драйвера сисмона через событие Sysmon EventID=1 по критерию "fltMC.exe unload".
2) Контролировать сбои в работе службы и драйвера Симона через событие Sysmon EventID=255
2) Контролировать сбои в работе службы и драйвера Симона через событие Sysmon EventID=255
А вот это интересно. Контролировать остановку драйвера сисмона через ивент создания процесса. Прям респект.
DP
Круто, но из описания не следует, что это событие появится, если кильнуть процесс
Оно и не появится
DP
Именно поэтому я писал что надо логи остановки процесса собирать. Стандартные
DP
А вот это интересно. Контролировать остановку драйвера сисмона через ивент создания процесса. Прям респект.
Это ж собственно бест прэктис
2020 September 05
K
Коллеги, кто-нибудь нанимает стажёров? Asking for a friend.
NA
Вопрос провокационный? Тут недавно был материал про то, что СОКи нанимают стажеров и вот стажеры следят за вашей безопасностью... Фу-фу-фу так делать и все такое.
I
Ну с другой стороны эксперты тоже сразу не родятся😁
NA
Да ладно вам.. их сразу обученными в капусте находят, я видел )
K
Вопрос провокационный? Тут недавно был материал про то, что СОКи нанимают стажеров и вот стажеры следят за вашей безопасностью... Фу-фу-фу так делать и все такое.
Нет, не провокационный. И материала я не видел, хотя не удивляюсь, что в ночь хотят только студенты работать.
PK
Коллеги, а есть инфа про сок-форум в ноябре? Будет?