Не совсем понял про Штирлица. Факты представленные следователю - деньги увели, в это время работал оператор, отделом К после проверки компьютера антивирусом Касперского вирусов не обнаружено. Кто виноват?

Все остальное приросток руководителя я уже выудил с побитного образа, который они догадались сделать прежде чем компьютер передали. Оператор и сисадмин отскочили в итоге.

Если был рдп сеанс, то это должно всплыть из анализа сетевого трафика как 2х2. Добавьте в свое изложение -

Работал оператор и еще кто-то кдалееным раб. столом. Ничего не поменялось?

Откуда вы анализ возьмёте сети?

Да.

Провайдер предоставил данные, там были логи вида ip-ip без разбивки по протоколам

От админа. Не? Или людей дома ломанули? Если не дома, то вся история странная. Хотя бы методичку сбербанка какого-нибудь исполнили бы что ли.

Уровень администрирования я описал. Понятно что никто ничего не журналировал, стоял какой то роутер простой.

Забавно. Бывал по обе стороны таких запросов. Нетфлов даже сырой доводилось отдавать и получать, когда самому репорт некогда делать или тебе не хотят. С чего там не быть всему остальному протоеольному - не ясно.

Тогда это карма.

Я тогда ещё не был готов так работать, элементарно знаний не хватало, надо же знать как правильно спрашивать. Сейчас я может быть и ту информацию в спланк загнал да погруппировал по разным признакам.

Настройте штатную политику аудита Windows версии >= 7, укажите критичные папки вроде Windows, system32 и т.д. Ко всему этому sysmon добавить можно и будет вам счастье. Контроль таких параметров (изменнние/появление файлов + их хеши) в SIEM отдавайте, через тот же AD.

Неплохой способ, особенно с сисмоном, хэш процесса смотреть. Но при загрузке с внешнего носителя аудит не сработает.

Подключение внешних носителей можно тоже винаудитом смотреть. Например, при подключении usb-носителей наследят в реестре, а это легко отслеживается. Понятное дело, что есть и контрмеры такого контроля, но опять - от цели отталкиваться нужно. Если какая технологическая сеть, т.е. OT, AD маловероятна, то на такие случаи также варианты есть - либо штатными средсьвами Win и тулов вроде сисмона, тогда вопрос по большому счёту лишь в коннекторах для SIEM (сами напишите, или готовое возьмёте), либо нодовые профильные решения будете использовать, например, тот же нодовый KICS, события с которого в KSC, а оттуда сислогом или через БД KSC в SIEM. Ну, я к тому, что вариантов достаточно.

Я про внешние носители имел в виду что то типа dartа загрузиться с live носителя и подправить Файлы

Да, с LIVE-грузилками это другая тема, хотя вероятность детекта всё же есть. Ну а если взять во внимание, что некоторые live-грузилки имеют форензик-мод, то при умелом использовании такового следов точно не будет.

В винде usb и в журналах отслеживаются. Помимо 4 всем известных журналов там ещё несколько сотен есть, 90% из них отключено правда.

Про иностранных могу сказать, что одно время они были даже активнее российских .. но до реального применения никто не добежал, насколько мне известно

Вендоров я, естественно, называть не буду, но их число измеряется десятками