Продовження роботи над помилками від колег, що відповідали за мережу
Червоне – допущені під час змагань помилки
Синє -погані ідеї, або такі що були виконані невчасно
Архіви категорій: BlueTeam
AM23, робота над помилками
Цей допис є рефлексією після участі у навчаннях, де команди синіх захищали інфраструктуру, команди червоних її атакували, а команда зелених жалілась на недоступність сервісів і старанно псувала нерви синім 🙂
Кольорова гама допису буде така:
Зелене – це те, що було зроблено добре і вчасно
Червоне – те, що точно можливо було зробити інакше, або в інший час
Синє – ідеї, які з’явились вже після навчання і не були протестовані.
SOC links
Threat Hunter Playbook
https://threathunterplaybook.com/intro.html
Cyber Meisam [CM]
https://cybermeisam.medium.com/
Hoarder
https://github.com/muteb/Hoarder
ENTERPRISE PURPLE TEAMING
https://github.com/ch33r10/EnterprisePurpleTeaming
Course SC-200T00: Microsoft Security Operations Analyst
https://learn.microsoft.com/en-us/training/courses/sc-200t00
Your Ultimate Guide to Windows Local Administrator Password Solution (LAPS)
https://kaidojarvemets.com/your-ultimate-guide-to-windows-local-administrator-password-solution-laps/
Bug Hunter Handbook
https://gowthams.gitbook.io/bughunter-handbook/
Know Your Adversary
https://posts.specterops.io/
-
- Offensive Lateral Movement (https://posts.specterops.io/offensive-lateral-movement-1744ae62b14f)
- Death from Above: Lateral Movement from Azure to On-Prem AD (https://posts.specterops.io/death-from-above-lateral-movement-from-azure-to-on-prem-ad-d18cb3959d4d)
- What is Tier Zero — Part 1 (https://posts.specterops.io/what-is-tier-zero-part-1-e0da9b7cdfca)
- Establish security boundaries in your on-prem AD and Azure environment (https://posts.specterops.io/establish-security-boundaries-in-your-on-prem-ad-and-azure-environment-dcb44498cfc2)
- The Defender’s Guide to the Windows Registry (https://posts.specterops.io/the-defenders-guide-to-the-windows-registry-febe241abc75)
- The Defender’s Guide to Windows Services (https://posts.specterops.io/the-defenders-guide-to-windows-services-67c1711ecba7)
Передача логів DNS запитів на QRadar
Оскільки логування DNS запитів в ОС Windows задача не тривіальна, для її вирішення використано 2 компоненти:
-
DigitalStakeout PDNS (https://pdns.digitalstakeout.com/resources/free-windows-dns-log-parser)
-
NXLog Community Edition (https://nxlog.co/downloads/nxlog-ce#nxlog-community-edition)
LSA protection против mimikatz
“Информационная безопасность” это то, что стоит между деньгами и репутацией вашей компании и злоумышленником. И эта стена строится из маленьких кирпичиков.
Чем больше кирпичиков и чем плотнее они подогнаны друг к другу, тем крепче и надежнее наша стена 🙂
Как вы знаете, “интересная информация” может быть извлечена из памяти достаточно легко. Неприятность в том, что извлечение может быть автоматизировано с помощью разного рода скриптов.
И наша задача усложнить злоумышленнику жизнь и выграть немного времени чтобы адекватно отреагировать на атаку.