даже 3

да уж) развернули в периметре кучу уязвимых серверов с накрученными аудитами, завели в сием, выставили для группы ханипотов приоритет в правилах и гоу)))ddp на коленке

не, у них реально автоматизация разбрасывания фейковых кредов, ключей SSH, доков, ханипотов, вплоть до фейковых баз данных

прикольно, представляете на условном форуме будут продавать фейковый дамп бд))))

надо везде напихать dump.sql в вебдиры ))))) хай качают

или у тебя пробив/слив, а ты в пресс-релизе заявляешь, что это все DDP сработала и реального ущерба нет

и никто не верит))))

главное, чтобы начальство верило

и товарищ куратор

😀ты сразу за больное

куратор в этом что-то понимает?

Товарищи кураторы может и новички в ИБ, но не новички по жизни :)
Задача будет их убедить, что в отчёте следует писать- хакерская атака была успешно отражена профессионально настроенной эшелонированной системой защиты.... и все это в тесном взаимодействии с ...., А не о пропавших полимерах.

Не знаю насчёт кураторов, но in-house ИБ советует (!)  быть поосторжнее

Привет, кто-нибудь пробовал в sysmon отлавливать снятие дампа процесса через sysinternals Process Explorer?

Просто он при снятии дампа не триггерит Event Code 10 (Process Accessed), вижу только Event Code 12, что procexp.exe, находясь в папке *AppData/Local/Temp* лезет в реестр в RunMRU (видимо, чтобы историю почистить) и Event Code 11 - создание файла дампа.
Так как формат и имя файла дампа, ровно как и имя процесса, который его создаст, можно подменить, это точно фиговый признак.
Я пока только вижу вариант как раз по Event Code 12 триггериттся и смотреть, что процесс, который пишет в реестр лежит в *AppData/Local/Temp*.
Но мб кто-нибудь пробовал обнаруживать эту фигню по другому?

Эээто как не тригерит. О lsass.exe речь?

Может у вас с конфигом сисмона что то не так?

Да, действительно инклюда не хватало в конфиге))
Вот бы я сейчас херни напридумывал

Ну слава Богу, я напрягся

Дамп памяти очень легко детектировать по process access