ueba

  1. Сергей Попов

    Статья Типы инсайдерских угроз: malicious, negligent и compromised — индикаторы, kill chain и модели риска

    В SOC прилетел тикет средней критичности: учётка бухгалтера аутентифицировалась на контроллере домена в 2:47 ночи и запустила PsExec. DLP молчал - формально пользователь работал с файлами, доступными по роли. SIEM выдал единственный алерт: аномальное время логина. На разборе выяснилось -...
    • Сергей Попов
    • Тема
    • dlp insider threat mitre att&ck ueba инсайдерские угрозы модель риска инсайдера обнаружение инсайдерских угроз поведенческая аналитика
    • Ответы: 0
    • Раздел: Threat Intel
  2. Сергей Попов

    Статья Identity-based атаки: как атакующие используют легитимные учётные записи и как их детектировать

    Полгода назад я разбирал инцидент в финансовой компании: lateral movement через 14 хостов, эксфильтрация 2 ТБ данных, время пребывания - 19 дней. CrowdStrike Falcon на endpoint'ах не сгенерировал ни одного алерта. Ноль. Причина: атакующий угнал сервисный аккаунт с domain admin привилегиями и...
    • Сергей Попов
    • Тема
    • credential abuse identity-based атаки kerberoasting lateral movement детектирование mitre att&ck pass-the-hash ueba атаки на учётные записи
    • Ответы: 1
    • Раздел: Threat Intel
Верх Низ
Назад