Blauhaunt
#dfir
Набор инструментов для фильтрации и визуализации событий входа в систему. Предназначен для того, чтобы помочь ответить на вопрос «Откуда вы пришли и куда вы направились». Этот инструмент предназначен для опытных специалистов DFIR и пригодится для расследования инцидентов безопасности.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#dfir
Набор инструментов для фильтрации и визуализации событий входа в систему. Предназначен для того, чтобы помочь ответить на вопрос «Откуда вы пришли и куда вы направились». Этот инструмент предназначен для опытных специалистов DFIR и пригодится для расследования инцидентов безопасности.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
👍8👏4❤3
LNAV — The Logfile Navigator
#logs #soc #dfir
Терминальная утилита для анализа лог-файлов.
Возможности:
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#logs #soc #dfir
Терминальная утилита для анализа лог-файлов.
Возможности:
• Логи из разных файлов сводятся в единое представление
• Автоматически определяется формат лога
• Автоматическая декомпрессия файлов GZip и BZip2
• Фильтрация сообщений журнала на основе регулярных выражений
• Использование SQL для анализа логов
• И многое другое...
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
👍16🔥5❤2
DFIR
Подборка инструментов для цифровой криминалистики (Digital Forensics Tools). Они помогут вам в проведении цифровых расследований и анализе электронных данных.
#Forensics #SOC #dfir #подборка
Autopsy — это графический интерфейс для The Sleuth Kit и других инструментов судебной экспертизы. Это один из самых популярных свободных проектов для анализа данных цифровых носителей.
The Sleuth Kit — это набор инструментов с открытым исходным кодом для анализа файловых систем и дисков Microsoft и UNIX.
Volatility — это набор инструментов для анализа памяти, который помогает осуществлять исследование и обнаружение данных, загруженных в оперативную память системы.
Wireshark — это один из самых популярных сетевых анализаторов пакетов. Он позволяет захватывать и интерактивно анализировать трафик с сетевых интерфейсов.
Bulk Extractor — это инструмент, который сканирует носители данных на наличие личной информации, таких как кредитные карты, телефоны и адреса электронной почты.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Подборка инструментов для цифровой криминалистики (Digital Forensics Tools). Они помогут вам в проведении цифровых расследований и анализе электронных данных.
#Forensics #SOC #dfir #подборка
Autopsy — это графический интерфейс для The Sleuth Kit и других инструментов судебной экспертизы. Это один из самых популярных свободных проектов для анализа данных цифровых носителей.
The Sleuth Kit — это набор инструментов с открытым исходным кодом для анализа файловых систем и дисков Microsoft и UNIX.
Volatility — это набор инструментов для анализа памяти, который помогает осуществлять исследование и обнаружение данных, загруженных в оперативную память системы.
Wireshark — это один из самых популярных сетевых анализаторов пакетов. Он позволяет захватывать и интерактивно анализировать трафик с сетевых интерфейсов.
Bulk Extractor — это инструмент, который сканирует носители данных на наличие личной информации, таких как кредитные карты, телефоны и адреса электронной почты.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
👍18🔥4❤3😈1
Руководство по настройке журнала событий Windows для DFIR и поиска угроз безопасности.
#DFIR #Windows #admin
Содержание:
Ссылка на GitHub
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#DFIR #Windows #admin
Содержание:
• Проблемы с настройками журналов Windows по умолчанию
• Предупреждение: Вносите изменения в свои системы на свой страх и риск!
• Важные журналы событий Windows
◦ Основные источники логов по Sigma
◦ Основные источники логов по Sigma
◦ Основные идентификаторы событий безопасности
• Увеличение максимального размера файла
◦ Вариант 1: Вручную через Viewer журналов событий
◦ Вариант 2: Встроенный инструмент Windows
◦ Вариант 3: PowerShell
◦ Вариант 4: Групповая политика
• Сценарий конфигурации
• Настройка параметров журналов
◦ Журнал Sysmon (1382 правила Sigma)
◦ Журнал безопасности (1045 правил Sigma (903 правил создания процессов + 142 других правила))
◦ Журналы PowerShell (175 правил Sigma)
◦ Логирование модулей (30 правил Sigma)
◦ Включение логирования модулей
◦ Вариант 1: Включение через групповую политику
◦ Вариант 2: Включение через реестр
◦ Логирование блоков скриптов (134 правила Sigma)
◦ Включение логирования блоков скриптов
◦ Вариант 1: Включение через групповую политику
◦ Вариант 2: Включение через реестр
◦ Логирование транскрипции
◦ Включение логирования транскрипции
◦ Вариант 1: Включение через групповую политику
◦ Вариант 2: Включение через реестр
◦ Ссылки
◦ Журнал системы (55 правил Sigma)
◦ Журнал приложений (16 правил Sigma)
◦ Операционный журнал Windows Defender (10 правил Sigma)
◦ Операционный журнал Bits-Client (6 правил Sigma)
◦ Журнал файрволла (6 правил Sigma)
◦ Операционный журнал NTLM (3 правила Sigma)
◦ Журналы Security-Mitigations KernelMode и UserMode (2 правила Sigma)
◦ Журналы службы печати (2 правила Sigma)
◦ Администрирование (1 правило Sigma)
◦ Операционные (1 правило Sigma)
◦ Журнал безопасности SMBClient (2 правила Sigma)
◦ Журналы AppLocker (1 правило Sigma)
◦ Операционный журнал CodeIntegrity (1 правило Sigma)
◦ Операционный журнал Diagnosis-Scripted (1 правило Sigma)
◦ Операционный журнал DriverFrameworks-UserMode (1 правило Sigma)
◦ Операционный журнал WMI-Activity (1 правило Sigma)
◦ Операционный журнал TerminalServices-LocalSessionManager (1 правило Sigma)
◦ Операционный журнал TaskScheduler (1 правило Sigma)
Ссылка на GitHub
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
👍12🔥8❤3✍1
Windows-forensics
#DFIR #SOC #BlueTeam
Это руководство предлагает детальное описание различных артефактов компьютерной криминалистики в Windows, которые можно использовать при проведении расследования. Для каждого артефакта предоставлена подробная информация, включая его расположение, доступные инструменты для парсинга и инструкции по интерпретации результатов извлечения криминалистических данных. Кроме того, руководство стремится стать исчерпывающим ресурсом для тех, кто хочет углубить своё понимание артефактов компьютерной криминалистики в Windows и правильно использовать их в ходе расследования.
Ссылка на GitHub.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#DFIR #SOC #BlueTeam
Это руководство предлагает детальное описание различных артефактов компьютерной криминалистики в Windows, которые можно использовать при проведении расследования. Для каждого артефакта предоставлена подробная информация, включая его расположение, доступные инструменты для парсинга и инструкции по интерпретации результатов извлечения криминалистических данных. Кроме того, руководство стремится стать исчерпывающим ресурсом для тех, кто хочет углубить своё понимание артефактов компьютерной криминалистики в Windows и правильно использовать их в ходе расследования.
Ссылка на GitHub.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
👍13❤7🔥5
MemProcFS-Analyzer
#SOC #DFIR
PowerShell скрипт, используемый для упрощения и оптимизации процесса анализа памяти.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#SOC #DFIR
PowerShell скрипт, используемый для упрощения и оптимизации процесса анализа памяти.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
👍9🔥5❤4
MemProcFS
#memory #DFIR #полезное@haccking
Простой и удобный способ просмотра физической памяти в виде файлов в виртуальной файловой системе. Легкий и интуитивно понятный анализ памяти, не требующий сложных аргументов командной строки! Получайте доступ к содержимому памяти и артефактам через файлы в смонтированной виртуальной файловой системе. Анализируйте дампы памяти, живую память с помощью DumpIt или WinPMEM, живую память в режиме чтения-записи из виртуальных машин или с устройств PCILeech FPGA!
Ссылка на инструмент.
LH | Новости | OSINT | Курсы
#memory #DFIR #полезное@haccking
Простой и удобный способ просмотра физической памяти в виде файлов в виртуальной файловой системе. Легкий и интуитивно понятный анализ памяти, не требующий сложных аргументов командной строки! Получайте доступ к содержимому памяти и артефактам через файлы в смонтированной виртуальной файловой системе. Анализируйте дампы памяти, живую память с помощью DumpIt или WinPMEM, живую память в режиме чтения-записи из виртуальных машин или с устройств PCILeech FPGA!
Ссылка на инструмент.
LH | Новости | OSINT | Курсы
👍13❤4🔥4
Топ-10 артефактов Linux для расследования инцидентов
#статья #linux #dfir #BlueTeam
Несмотря на то, что Windows остается самой распространенной ОС, о чем знают в том числе атакующие, оставлять без внимания другие системы нельзя, а уж тем более Linux (ладно-ладно, GNU/Linux). Сегодня российские компании все чаще пользуются Linux из соображений импортозамещения, тем не менее, эта ОС по-прежнему более распространена именно как серверное решение.
А теперь представьте ситуацию: вы работаете на Linux-машине, и вдруг что-то явно идет не так. Уровень нагрузки на процессор резко вырос, начались обращения на неизвестные ресурсы или пользователь www-data неожиданно оказался в группе wheel. Что делать?
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #linux #dfir #BlueTeam
Несмотря на то, что Windows остается самой распространенной ОС, о чем знают в том числе атакующие, оставлять без внимания другие системы нельзя, а уж тем более Linux (ладно-ладно, GNU/Linux). Сегодня российские компании все чаще пользуются Linux из соображений импортозамещения, тем не менее, эта ОС по-прежнему более распространена именно как серверное решение.
А теперь представьте ситуацию: вы работаете на Linux-машине, и вдруг что-то явно идет не так. Уровень нагрузки на процессор резко вырос, начались обращения на неизвестные ресурсы или пользователь www-data неожиданно оказался в группе wheel. Что делать?
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🔥5❤2
Обзор криминалистических артефактов Windows
#статья #dfir #Windows
Цель этой статьи — предложить наиболее полный список источников информации, которые могут быть полезны для выявления следов вредоносной активности, и, кратко, в виде шпаргалки предложить где их находить и чем анализировать.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #dfir #Windows
Цель этой статьи — предложить наиболее полный список источников информации, которые могут быть полезны для выявления следов вредоносной активности, и, кратко, в виде шпаргалки предложить где их находить и чем анализировать.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👏7👍4❤3
Погружение в AD: разбираем продвинутые атаки на Microsoft Active Directory и способы их детекта.
#статья #AD #pentest #dfir
За последние четыре года ни один Black Hat или DEF CON не обошелся без докладов на тему атак на Microsoft Active Directory. Участники рассказывают о новых векторах и своих изобретениях, но не забывают и о советах, как можно их обнаружить и предотвратить. В этой статье мы рассмотрим популярные способы атак на AD и приведем рекомендации, которые помогут от них защититься.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #AD #pentest #dfir
За последние четыре года ни один Black Hat или DEF CON не обошелся без докладов на тему атак на Microsoft Active Directory. Участники рассказывают о новых векторах и своих изобретениях, но не забывают и о советах, как можно их обнаружить и предотвратить. В этой статье мы рассмотрим популярные способы атак на AD и приведем рекомендации, которые помогут от них защититься.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤3🔥3
70+ бесплатных инструментов для компьютерной криминалистики (форензики)
#DFIR #статья #полезное
Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source сообществу.
Давайте пройдемся по просторам GitHub и посмотрим, какие инструменты для сбора и анализа цифровых доказательств доступны всем желающим.
Под катом утилиты для разбора содержимого оперативной памяти, исследования Docker-образов, анализа журналов, извлечения информации из кеша браузеров и многое другое.
🔗 Ссылка на статью
LH | News | OSINT | AI
#DFIR #статья #полезное
Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source сообществу.
Давайте пройдемся по просторам GitHub и посмотрим, какие инструменты для сбора и анализа цифровых доказательств доступны всем желающим.
Под катом утилиты для разбора содержимого оперативной памяти, исследования Docker-образов, анализа журналов, извлечения информации из кеша браузеров и многое другое.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18🔥6❤4
Awesome Incident Response
#DFIR #аналитика
Список инструментов и ресурсов для реагирования на инциденты безопасности, предназначенный для помощи аналитикам по безопасности и командам DFIR.
Команды по цифровой криминалистике и реагированию на инциденты (DFIR) — это группы специалистов в организации, ответственные за управление реакцией на инцидент безопасности. Они занимаются сбором доказательств инцидента, устранением его последствий и внедрением мер контроля, чтобы предотвратить повторение инцидента в будущем.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#DFIR #аналитика
Список инструментов и ресурсов для реагирования на инциденты безопасности, предназначенный для помощи аналитикам по безопасности и командам DFIR.
Команды по цифровой криминалистике и реагированию на инциденты (DFIR) — это группы специалистов в организации, ответственные за управление реакцией на инцидент безопасности. Они занимаются сбором доказательств инцидента, устранением его последствий и внедрением мер контроля, чтобы предотвратить повторение инцидента в будущем.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤5🔥4