Common Event Format (CEF) - Version 27
Common Event Format (CEF) - это расширяемый текстовый формат, разработанный для поддержки нескольких типов устройств, предлагая наиболее релевантную информацию.
Статьи
Статьи по теме информационной безопаности, аналитика и полезные материалы.
Common Event Format (CEF) - Version 26
Common Event Format (CEF) - это расширяемый текстовый формат, разработанный для поддержки нескольких типов устройств, предлагая наиболее релевантную информацию.
Установка Sysmon в CentOS
Системный монитор (Sysmon) — это служба и драйвер, который после установки в системе остается резидентным для отслеживания и регистрации активности системы в журнале событий.
Установка Sysmon в Ubuntu
Инструкция по установке Sysmon в Ubuntu. Sysmon - Программа предоставляет детальную информацию о процессах, сетевых соединениях и изменениях в файлах.
Установка sysmon в Debian
Системный монитор (Sysmon) — это служба, который после установки в системе остается резидентным для отслеживания и регистрации активности системы в журнале событий.
Пример конфигурации Sysmon XML
Sysmon - это мощный инструмент мониторинга для систем Windows. Невозможно раскрыть всю его мощь без использования конфигурационного XML, который позволяет включать или исключать определенные типы событий
Использование данных Sysmon DNS для реагирования на инциденты
Последние версии Sysmon поддерживают протоколирование DNS-запросов.
Sysmon 14.0 - FileBlockExecutable
Команда Sysinternals выпустила новую версию Sysmon. В ней номер версии доведен до 14.0, а схема повышена до 4.82.
Что регистрировать в SIEM: лучшие практики ведения журналов
Плохо настроенная SIEM может привести к подавляющему количеству бесполезных предупреждений - или, что еще хуже, к отсутствию предупреждений о реальных инцидентах безопасности.
Какие бывают индикаторы компрометации (IOC, Indicators of Compromise)
Индикаторы компрометации (IOC) служат в качестве криминалистических доказательств потенциальных вторжений в хост-систему или сеть. Эти артефакты позволяют специалистам по информационной безопасности (InfoSec)
Пирамида боли
Весь смысл обнаружения индикаторов заключается в том, чтобы реагировать на них, и как только вы сможете реагировать на них достаточно быстро, вы лишите противника возможности использовать эти индикаторы при нападении на вас.
Список идентификаторов событий Sysmon
Этот статья создана для демонстрации возможностей ведения журнала Sysmon с разбивкой по идентификаторам событий. Идентификаторы будут захвачены в контексте и сопоставлены с их разделом конфигурации sysmon-modular для возможностей настройки.