e
Извините, но так и не понял, где можно самое интересное посмотреть.
А, не паблик.
Size: a a a
2019 May 08
2019 May 09
A
PERHAPS THE SINGLE MOST IMPORTANT THING YOU CAN DO TO PREPARE FOR AN INCIDENT IS TO INCREASE WINDOWS EVENT LOGGING. TURN ON PROCESS AUDITING, POWERSHELL LOGGING, AND DRAMATICALLY INCREASE THE SIZE OF THE EVENT LOGS. DISK SPACE IS CHEAP, USE IT.
A
Извините, что в тему :о))
e
Alexey
PERHAPS THE SINGLE MOST IMPORTANT THING YOU CAN DO TO PREPARE FOR AN INCIDENT IS TO INCREASE WINDOWS EVENT LOGGING. TURN ON PROCESS AUDITING, POWERSHELL LOGGING, AND DRAMATICALLY INCREASE THE SIZE OF THE EVENT LOGS. DISK SPACE IS CHEAP, USE IT.
Так вы услугу не продадите))
Но мысль верная.
Но мысль верная.
ДЮ
Oh really) sure. Enable all the shit, then hope that it wouldn’t be rewritten
NA
"В случае инцидента, выдавить стекло"
A
Так вы услугу не продадите))
Но мысль верная.
Но мысль верная.
Почему?
e
Alexey
Почему?
Наверное, что-нибудь ещё пригодится)
e
Но шутка зачтена)
ДЮ
Потому что нужно далеко не все. А если включить все, даже в небольшой лабе с доменом, вы неприятно удивитесь потоку событий даже без эмуляции активностей. А если там файловая шара то в общем...
NA
Откуда вы знаете что именно нужно?
NA
Да, есть джентельменский набор, но хватит ли его?
ДЮ
Откуда вы знаете что именно нужно?
Отличный вопрос! Наверное лучший за сегодня
NA
я капитан 😊
A
PERHAPS THE SINGLE MOST IMPORTANT THING YOU CAN DO TO PREPARE FOR AN INCIDENT ... Тут про "первая вещь, которая нужна чтобы подготовиться к инциденту"
A
Ни одного слова нет, про "включить логи на ВСЕ" :о))
ДЮ
Я надеюсь никто не обидится если это будет голосовое сообщение. Едем с командой на машине в Брюссель, ноуты сели, с телефоной клавы набирать овердолго а вопрос крутой
A
У МS есть куча гайдов, какие логи и с какой степенью нужны. С 2000 года регулярно обновляются. Ну а частности это уже "степень информированности и профессионализма команды", например внешнего SOC :o))
ДЮ
Если вы про ms docs и их рекомендации то там все довольно спорно с ними
NA
Если не останавливаться на MS и Linux, с ними все ясно. Скорее всего в "джентельменский набор настроек" войдут рекомендации из всяких секурити харденинг гайдов. С остальным то что? Остается только уповать на уровень экспертов SOC?