Смотри и слушай

Размышляя над списком IoC поймал себя на мысли, что данный список чаще всего пополняется из каталогов вроде ФСТЭК. Для тех кто не в теме, IoC (Indicator of Compromise - индикаторы компроментации), это артефакты (информационные данные), если добавить данные этих артефактов в специальный софт (например антивирус), то можно проверить свою инфраструктуру на предмет наличия следов. Иногда бывает так что злоумышленники находятся в сети подолгу, никак себя не проявляя до определённого момента. Данный метод борьбы называется Threat Hunting - охота за угрозами и является проактивным методом борьбы...

Сейчас был довольно интересный кейс. Звонят бывшие коллеги и мол так и так, очень нужная папка, а там архив, а какой пароль? Я весь день ходил вспоминал что за папка, так и не вспомнил, отбрыкивался слал всех лесом, в общем сливался как мог... Но я зря что-ли на tryhackme сидел и потом учился на SOC аналитика. В конце концов меня разобрало любопытство и я решил проверить одну штуку. Суть в чем: когда негодяйский хакер попадет в сеть, он может утащить хэш пароля, и потом локально его брутфорсить до посинения...

Я довольно часто слышу эту фразу, и многие реально в неё верят. Верят ровно до тех пор пока не столкнуться с последствиями этой веры. Это на самом деле распространённая проблема и она не специфична, она проявляет себя во всей красе до фига где, частичку этого, мы видим ежедневно сталкиваясь с реальностью вокруг нас. Есть такая вселенная Warhammer, по ней написано множество книг, выпущено под сотню игр, и у неё довольно занятный лор. Ну так вот, в этой вселенной есть орки. И они считают что если во что-то верить, то оно так и работает...

В этой статье я немного остановился на простом промере работы KQL и EQL. Помимо этого доступны Elasticsearch Query DSL и Watcher он же Kibana Alerting. Эти подходы не могут заменить друг друга, но зато прекрасно дополняют. Одни попроще для быстрого поиска и анализа, вторые пригодятся в сложной автоматизации. Самый простой KQL - Kibana Query language Интуитивно понятный язык для быстрого поиска и фильтрации данных. Предназначен - для быстрой проверки предположений, интерактивной фильтрации, анализа и визуализации в дашбоард...

Строго не судите, это моя первая статья из цикла инфобеза, так сказать таблетки для памяти, ну и если кому-то пригодится, то заработанный плюс в карму. Идея возникла спонтанно, во время обучения понял что получаю опыт, сталкиваясь с кучей ошибок которых можно было бы избежать будь я немного внимательней. Но так как жизнь идёт своим чередом, а сампо предполагает что ты будешь грызть гранит науки всё таки самостоятельно (пускай и с поддержкой наставника и нейронки). ELK использует аббревиатуру от стека инструментов, это Elastic Search, Logstash и Kibana...