В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

SOС Технологии

1394 membersпожаловаться на группу
2020 December 04

HT

Heirhabarov Teymur in SOС Технологии
ilya ♓️ holo36
а эксепшены?)
что имеешь ввиду?
источник
11:03пожаловаться#1

i♓

ilya ♓️ holo36 in SOС Технологии
"не логируй плиз запросы в 8.8.8.8"
источник
11:03пожаловаться#2

HT

Heirhabarov Teymur in SOС Технологии
виндовый аудит так не настроишь
источник
11:03пожаловаться#3

i♓

ilya ♓️ holo36 in SOС Технологии
а сисмоновый - да )
источник
11:04пожаловаться#4

HT

Heirhabarov Teymur in SOС Технологии
Выше уже писали - Sysmon/EDR
источник
11:04пожаловаться#5

i♓

ilya ♓️ holo36 in SOС Технологии
мы же накидываем человеку в рюкзак сразу подводные камни
источник
11:05пожаловаться#6

DD

Duck Darkwing in SOС Технологии
Sysmon слеш EDR 😂😂😂
источник
11:06пожаловаться#7

DT

Damir Tazetdinov in SOС Технологии
Sergey Rublev
Sysmon имеет хорошее ограничение: его тяжело саппортить в масштабах энтерпрайза + он дает уйму событий
ну у меня через GPO настроено задание в виндовом планировщике, которое запускает скрипт раз в час. Скрипт же в свою очередь смотрит установлен и запущен ли sysmon... если да, то просто заново подтягивает файл с конфигом, если нет то устанавливает/запускает службу со свежим конфигом.
Сам конфиг лежит на файловом сервере.. если в него внести изменения, то он сам подтянется на компы и серваки.
источник
11:06пожаловаться#8

i♓

ilya ♓️ holo36 in SOС Технологии
Damir Tazetdinov
ну у меня через GPO настроено задание в виндовом планировщике, которое запускает скрипт раз в час. Скрипт же в свою очередь смотрит установлен и запущен ли sysmon... если да, то просто заново подтягивает файл с конфигом, если нет то устанавливает/запускает службу со свежим конфигом.
Сам конфиг лежит на файловом сервере.. если в него внести изменения, то он сам подтянется на компы и серваки.
у меня SCCM ходит и делает эту грязь
источник
11:07пожаловаться#9

DT

Damir Tazetdinov in SOС Технологии
ilya ♓️ holo36
у меня SCCM ходит и делает эту грязь
ну у нас админы дурные, SCCM у них давно не поддерживается и работает через одно место...
источник
11:08пожаловаться#10

DT

Damir Tazetdinov in SOС Технологии
надёжней через GPO
источник
11:08пожаловаться#11

DT

Damir Tazetdinov in SOС Технологии
можно в принципе через Kaspersky Security Center деплоить, если такой имеется
источник
11:09пожаловаться#12

i♓

ilya ♓️ holo36 in SOС Технологии
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-other-policy-change-events
о , умнейшие, кому-то S-события пригождались хоть раз?
Docs
Audit Other Policy Change Events (Windows 10) - Windows security
The policy setting, Audit Other Policy Change Events, determines if audit events are generated for security policy changes that are not otherwise audited.
источник
11:09пожаловаться#13

KM

Kirill Mitrofanov 🌱... in SOС Технологии
Heirhabarov Teymur
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=5156
спасибо
источник
11:16пожаловаться#14

SS

Sergey Soldatov in SOС Технологии
Heirhabarov Teymur
Выше уже писали - Sysmon/EDR
Можно посмотреть ещё Elastic Endpoint agent, когда игрался с ним, очень понравился. Результаты упражнений https://reply-to-all.blogspot.com/2020/10/mdr-elastic-siem-elastic-endpoint.html
Blogspot
Тестируем Elastic Endpoint Agent с Elasitc SIEM
Стандартом де-факто для самодельного MDR долгое время был sysmon  и даже MITRE публикует детекты для него. Есть куча в прошлом SOC-ов, продв...
источник
11:29пожаловаться#15

AS

Alexey Sintsov in SOС Технологии
Разтема EDR  поднялась, кто-то  смотрел в   edr для лялихов, серверов, но так что бы оно и в контейнеры смотрело и AWS env понимало и типа такого
источник
11:37пожаловаться#16

AS

Alexey Sintsov in SOС Технологии
Примеры, что мы будем смотреть - ThreatStack, CrowdStrike
источник
11:38пожаловаться#17

AS

Alexey Sintsov in SOС Технологии
Но если кто уже изучал такой вопрос, интересен опыт
источник
11:38пожаловаться#18

SS

Sergey Soldatov in SOС Технологии
Слышал Полупальто может, посмотри их
источник
11:38пожаловаться#19

SS

Sergey Soldatov in SOС Технологии
Сам не смотрел
источник
11:39пожаловаться#20