[Перевод] Руководство по анализу Sysmon-угроз, часть 2. Использование данных из Sysmon-событий для выявления угроз

Эта статья является первой частью серии по анализу Sysmon-угроз. Все остальные части серии: Часть 1. Знакомство с анализом логов Sysmon Часть 2. Использование данных из Sysmon-событий для выявления угроз (мы тут) Часть 3. Углубленный анализ Sysmon-угроз с помощью графов В этом разделе мы углубимся и начнём использовать детализированную информацию, которую предоставляет нам Sysmon. Вот три основных момента, которые мы будем прорабатывать: Использование PowerShell для прямого доступа к гранулированной информации о процессах; Построение и визуализация иерархии процессов – первый важный шаг в поиске угроз; Использование метаданных Sysmon для формирования важных метрик, полезных при углублённом расследовании угроз, таких как подсчёт частоты, с которой запускаются конкретные процессы. Читать дальше →

Источник: Хабрахабр