lateral movement detection
-
Статья Детектирование бокового перемещения Windows: правила корреляции для SOC-аналитика
Понедельник, 9:15 утра. В дашборде Splunk - 47 событий Event ID 4624 Type 3 от одной сервисной учётки на 12 разных серверов. Все произошли между пятницей 22:40 и воскресеньем 03:10. К моменту, когда L2-аналитик собрал таймлайн, картина уже сложилась: учётку svc_backup скомпрометировали через...- Сергей Попов
- Тема
- lateral movement detection mitre att&ck lateral movement pass the hash обнаружение soc аналитик правила windows event log анализ детектирование бокового перемещения windows корреляция событий windows правила корреляции siem
- Ответы: 0
- Раздел: Облачная безопасность и DevSecOps
-
Статья Threat hunting lateral movement: SIEM-запросы и поиск бокового перемещения во время инцидента
Понедельник, 9:15 утра. EDR генерирует алерт: обращение к процессу lsass.exe через comsvcs.dll на рабочей станции бухгалтерии. Аналитик L1 подтверждает true positive, изолирует хост. Тикет закрыт, все довольны. Но атакующий-то начал за 40 минут до срабатывания. По данным CrowdStrike Global...- Сергей Попов
- Тема
- lateral movement detection mitre att&ck lateral movement siem корреляционные правила threat hunting lateral movement threat hunting siem запросы обнаружение бокового перемещения поиск угроз во время инцидента
- Ответы: 0
- Раздел: Threat Intel
-
Статья Threat hunting в банке: IOC, SIEM-правила и поиск APT-активности в финансовой сети
Четверг, 14:23. SIEM выдаёт алерт средней критичности: Sysmon Event ID 10 фиксирует обращение к lsass.exe с хоста из SWIFT-сегмента. Процесс-инициатор - svhost.exe, не svchost.exe. Одна лишняя буква «v» в имени. Кто-то не очень старался с маскировкой - или, наоборот, рассчитывал, что SOC не...- Сергей Попов
- Тема
- lateral movement detection mitre att&ck финансовый сектор siem правила для банка threat hunting в банке threat hunting финансовая организация мониторинг угроз в банке обнаружение apt в банковской сети
- Ответы: 0
- Раздел: Threat Intel
-
Статья Pivoting и tunneling в Active Directory: как это видит Blue Team
После initial access'a в Active Directory атака почти никогда не заканчивается на одном удачном входе. Сам по себе foothold ещё мало что даёт, если из него нельзя сделать устойчивое присутствие, аккуратный выход в нужные сегменты и канал, который переживёт первую волну реагирования. Именно здесь...- Luxkerr
- Тема
- active directory security blue team active directory dns tunneling detection hidden tunneling http tunneling lateral movement detection pivoting detection post-exploitation detection ssh tunneling detection threat hunting ad
- Ответы: 0
- Раздел: Анализ уязвимостей и исследования