Использование портативного клиента Telegram, так ли незаметно?
Приветствую, Хабр! Мессенджеры являются незаменимым инструментом для общения в корпоративной среде, поскольку это быстро и удобно. Зачастую во многих компаниях сотрудники взаимодействуют не через корпоративные, а через общедоступные мессенджеры. Это увеличивает риски утечки информации, так как...
Автоматизация безопасности с разнообразием матриц MITRE
Алексей Пешик, инженер-эксперт Security Vision Михаил Пименов, аналитик Security Vision С каждым годом методы получения неправомерного доступа к данным компаний и частных лиц становятся всё более изощренными. Эффективные меры защиты от проникновения в инфраструктуру породили более сложные,...
Поиск аномалий при запусках процессов Windows с помощью рекомендательных систем
В SIEM-системах есть множество написанных экспертами правил, которые помогут отследить подозрительное поведение. Однако существует много сценариев атак, которые нельзя описать строгими правилами, а значит, эффективно отслеживать. Учитывая объем данных, обрабатываемый SIEM-системой ежедневно, а...
Детектирование дампа памяти процесса LSASS. SOC наносит ответный удар
Привет, я @Gamoverr, работаю аналитиком угроз в Angara Security. А теперь к делу! Angara SOC спешит дополнить статью наших коллег из RedTeam по разбору методик дампа памяти процесса LSASS. Мы рассмотрим эту тему со стороны защиты и методик детектирования данной активности. С помощью каких...
Профилируем события Sysmon при внедрении в инфраструктуру
Если Вы опытный инженер SOC и настраивали уже несколько раз мониторинг инфраструктуры с нуля, то врядли найдете для себя что-то новенькое. Всех остальных приветствую в своей первой статье). Одним прекрасным утром прилетела задача внедрить Sysmon вчера срочно. Естественно, первым, что я сделал зашел...
Sysmon теперь может записывать содержимое буфера обмена
О релизе 12 версии Sysmon сообщили 17 сентября на странице Sysinternals. На самом деле в этот день вышли также новые версии Process Monitor и ProcDump. В этой статье я расскажу о ключевом и неоднозначном нововведении 12 версии Sysmon — типе событий с Event ID 24, в который логируется работа с...
Работа с событиями аудита Windows – сбор, анализ, реагирование
Уважаемые друзья, в предыдущих публикациях мы говорили об основах информационной безопасности, законодательстве по защите персональных данных и критической информационной инфраструктуры, безопасности в кредитно-финансовой сфере, а также провели анализ основных стандартов по управлению рисками...
Windows vs Sysmon
На последней конференции ZeroNights, в ходе неформального общения со своими коллегами по цеху — инженерами систем мониторинга, нам был задан простой на первый взгляд вопрос — распространено мнение, что для полноценного мониторинга эндпоинта с ОС Windows необходимо использовать Sysmon, а так ли это?...