AD
Все что по syslog может лог отдавать - на syslog collector, а дальше в siem, глазами в таком количестве логов сложно найти, только если что то конкретное изредка искать
Size: a a a
2021 February 02
AD
абсолютно согласен, но вопрос про источники, а не методы доставки
Начните с виндовых логов, только настроить расширенное логирование, дальше, если для каких то сценариев не будет хватать логов - уже подбирать источники, а так для абсолютного большинства сценариев достаточно стандартных виндовых логов и логов антивируса с хоста, логов МЭ и IDS с периметра, логи с инфраструктурных сервисов AD, DHCP, DNS
R
мнение услышал, в целом согласен, просто хочется расширить скоуп источников на ендпоинтах по хардкору, на крайний случай можно в шелл падать и так инфу собирать, но не нравится мне такая идея
AD
А что хотите найти на хостах, что то конкретное и известное? Или неизвестно что, но хочется что то найти что не видно в имеющихся логах?
R
известно но не видно в логах, мой пример - dns кэш при спуфинге
y
известно но не видно в логах, мой пример - dns кэш при спуфинге
что конкретно подразумевается под "dns кэш"? и о каком спуфинге идет речь?
AD
Где предположительно dsn спуфинг, на компьютерах пользователей или на dns сервере организации?
R
что конкретно подразумевается под "dns кэш"? и о каком спуфинге идет речь?
R
речь идёт целиком про пользовательские машины, как вариант можно смотреть на работу днс сервера и отлавливать нарушителей там, но это лишь пример ситуации, так конечно к каждой ситуации можно и нужно будет подойти индивидуально как я и сделаю, просто было интересно можно ли сразу увидеть ситуацию на клиенте
R
и опять же, со всеми ограничениями на нативность и тд и тп
2021 February 03
R
у меня сейчас несколько вариантов, смотреть на реализацию песочниц и форензик тулз вместе с чит щитом как мне тут подсказали, и еще меня заинтересовал метод фортиков которые выгружают пользовательские логоны через NetSessionEnum подключаясь к smbкуча инфы для ресерча в общем, так что думаю ответ на вопрос есть
AD
речь идёт целиком про пользовательские машины, как вариант можно смотреть на работу днс сервера и отлавливать нарушителей там, но это лишь пример ситуации, так конечно к каждой ситуации можно и нужно будет подойти индивидуально как я и сделаю, просто было интересно можно ли сразу увидеть ситуацию на клиенте
Логами dns сервера при отравлении кэша на конкретном компьютере не отловить, можно только на самом компьютере это отловить. Тут как правило от кейсов отталкиваются, например был у кого то из пользователей случай, когда с рабочего компа зашёл в личный кабинет банка, сайт при этом оказался фейковый, ввел логин-пароль, деньги со счета пропали. Это одна ситуация. а просто боятся всего и пытаться от всего защищаться не рационально. На компьютерах бухгалтерии защитится-да разумно, можно как вариант прописать ip используемых банковских сайтов прописать в hosts и поставить директорию на мониторинг изменений, как только кто то попытается поменять сразу увидите. А так, если инфраструктура спроектирована безопасно, все базовые сценарии реализованы, все подозрения на инциденты проверяются, все инциденты расследуются- вероятность атаки dns spoofing внутри такой инфраструктуры очень маловероятна.
AD
В большинстве случаев атаки закончатся на песочнице подключенной к почтовому серверу
R
цепляете Вы меня на диалог, уважаемый. а я, собственно, как и прежде согласен с позицией, но вопрос не о безопасности как таковой, а в возможностях виндовс как ОС
S
мнение услышал, в целом согласен, просто хочется расширить скоуп источников на ендпоинтах по хардкору, на крайний случай можно в шелл падать и так инфу собирать, но не нравится мне такая идея
Рат закинь на все компы
R
это легко, хочу нативный хардкор
R
крч спасибо за информацию и мнения, буду изучать варианты
S
Тогда сам напиши, на ассемблере, чтобы стаб был маленький и не детектился
R
ненене, без установок, с бинарниками то ясен пень
R
ну, тоесть без бинарников