Monitoring Active Directory for Signs of Compromise

Оригінал статті

The following table lists events that you should monitor in your environment, according to the recommendations provided in Monitoring Active Directory for Signs of Compromise. In the following table, the “Current Windows Event ID” column lists the event ID as it is implemented in versions of Windows and Windows Server that are currently in mainstream support.

The “Legacy Windows Event ID” column lists the corresponding event ID in legacy versions of Windows such as client computers running Windows XP or earlier and servers running Windows Server 2003 or earlier. The “Potential Criticality” column identifies whether the event should be considered of low, medium, or high criticality in detecting attacks, and the “Event Summary” column provides a brief description of the event.

Читати далі →

42 Windows Server Security Events You Should Monitor

Табличка взяти зі одноіменної статті 42 Windows Server Security Events You Should Monitor.

Читати далі →

CC23, робота над помилками

Традиційна робота над помилками після навчань\змагань.
Попередня робота над помилками тут і тут.

Кольорова складова лишається незмінною:

Зелене – це те, що було зроблено добре і вчасно
Червоне – те, що точно можливо було зробити інакше, або в інший час
Синє – ідеї, які з’явились вже після навчання і не були протестовані.

Читати далі →

AM23, робота над помилками (networking)

Продовження роботи над помилками від колег, що відповідали за мережу

Червоне – допущені під час змагань помилки
Синє -погані ідеї, або такі що були виконані невчасно

Читати далі →

AM23, робота над помилками

Цей допис є рефлексією після участі у навчаннях, де команди синіх захищали інфраструктуру, команди червоних її атакували, а команда зелених жалілась на недоступність сервісів і старанно псувала нерви синім 🙂

Кольорова гама допису буде така:

Читати далі →