detection engineering

  1. Сергей Попов

    Статья Поведенческий анализ угроз UEBA: detection без сигнатур для Blue Team

    SIEM-дашборд зелёный, корреляционные правила отрабатывают штатно. Ранним утром UEBA-модуль поднимает risk score до 87 для сервисной учётной записи svc_backup: в 02:38 она аутентифицировалась через VPN с IP-адреса, который ни разу не фигурировал в её профиле, после чего за 12 минут выполнила 340...
  2. Сергей Попов

    Статья Защита от ransomware 2026: полный разбор тактик, Recovery Denial и оборона backup-инфраструктуры

    По данным Mandiant M-Trends 2025, 57% организаций узнают о компрометации от внешних источников - не от собственного SOC. Но есть сценарий хуже: вы обнаруживаете шифровальщик сами, запускаете disaster recovery и выясняете, что бэкапы мертвы. VSS-снапшоты стёрты, агенты Veeam остановлены, каталоги...
  3. Сергей Попов

    Статья Detection Engineering: Sigma и YARA правила для детекции стеганографии и облачного C2 APT28

    42 хоста украинских военных структур. Кампания APT28, которую Sekoia.io назвала Operation Phantom Net Voxel. Стандартные IOC-фиды молчали всё время - ни одного алерта. C2-трафик шёл через Icedrive, Filen и Koofr - облачные хранилища, о которых среднестатистический SOC-аналитик в лучшем случае...
  4. Сергей Попов

    Статья Ransomware тренды 2026: EDR killers, отказ от шифрования и detection engineering

    Алерт в SIEM: массовое чтение файлов на файловом сервере - 14 000 обращений к SMB share за восемь минут. Через двадцать минут - тишина. Никакого шифрования, ни одного ransom note, shadow copies на месте. Бэкапы целы. IR-команда классифицирует событие как false positive. Через три дня компания...
  5. Сергей Попов

    Статья Purple Team на практике: workflow валидации детектов и закрытия gaps в покрытии ATT&CK

    Прошлой осенью на Purple Team упражнении для финтех-компании мы эмулировали дамп LSASS Memory (T1003.001, Credential Access) тремя способами: Mimikatz, comsvcs.dll MiniDump, ProcDump. SOC с Elastic 8.x и CrowdStrike Falcon получил алерт только на Mimikatz - сигнатурный детект по имени процесса...
  6. Сергей Попов

    Статья SOC vs Red Team: как построить внутренний пентест-процесс в enterprise

    В прошлом году мы проводили adversary simulation для финансовой организации - SOC из 15 аналитиков, Splunk Enterprise, CrowdStrike Falcon на эндпоинтах. Четверг, 10:40 утра: red team получает начальный доступ через Valid Accounts (T1078, Initial Access) - учётные данные VPN-подрядчика из утёкшей...
  7. Sergei webware

    Статья Sigma правила детекции Cisco SD-WAN: пишем детекты на CVE-2026-20127 и lateral movement через NETCONF

    Февраль 2026 - CISA выпускает Emergency Directive 26-03, Cisco Talos публикует разбор деятельности группировки UAT-8616, а Австралийский центр кибербезопасности (ASD-ACSC) выкладывает полноценный Hunt Guide по SD-WAN. Цепочка эксплуатации CVE-2026-20127 (CVSS 10.0, активно эксплуатируется -...
  8. Luxkerr

    Статья Living off the Land Binaries (LOLBins): атаки и detection

    Living off the Land - один из тех подходов, который за последние годы из редкой техники превратился почти в стандартный элемент атак. Смысл простой и неприятный для защитников: вместо собственной малвари атакующий использует уже установленное в системе программное обеспечение. Легитимные утилиты...