Comments 8
Посоветуйте ресурсы для базового становления Blue Team команд, но не таких крутых как написнао в статье (когда уже все сделано и мониторинг опустился до уровня почти дебага процессов на ендполинте).
Вопрос: если включить этот мониторинг, какой по вашему опыту будет уровень false positive? Просто в винде одна беда - штатная работа сама по себе очень шумная что с точки зрения сетевой активности, что сточки зрения процессов и прочих системных событий. И еще один генератор шума скорее всего ясности не прибавит.
Заранее спасибо.
Я выражу сейчас своё личное мнение: чтобы создать команду нужно прежде всего что-то что-то софтскиловое. Если вы хотите команду, то там должны быть процессы, команда должна работать как команда, если 24/7, то тоже надо особенно организоваться...
Если вопрос именно технологического стека, то сейчас разразится холиварищще, но для небольших команд рекомендуют ELK + Filebeat. Собственно я при написании пользовался для демонмтрации SilkETW и данные подавал в облако Elastic. Очень удобно.
Я выскажу непопулярную мысль, но для некоего идеального Threat Intel SOC в вакууме уровень ложных срабатываний (фолсы) должен быть постоянно высоким: есть два процесса и они как-бы в равновесии
SOC строит гипотезы, потребляет всё больше данных, подключает новые источники, улучшает покрытие и как следствие генерирует больше алертов для расследования
SOC изучает процессы и потоки данных в компании, понимает типичные кейсы расследует фолсу и как следствие фильтрует алерты
А вообще я не могу дать никакой оценки не ознакомившись с предметной обастью конкретного заказчика
Отличная статья! Хотелось бы еще узнать как обстоят дела с .NET 5 и 6 где уже нет доменов приложений https://docs.microsoft.com/en-us/dotnet/core/porting/net-framework-tech-unavailable
Как там все работает?
О, это вообще отдельная тема. Дело даже не в доменах приложения: существует возможноcсть создать Native Code приложение сразу. А значит никакой JIT компилляции (кототрая на самом деле через ETW может многое рассказать вашему EDR/AV о том что готовится к запуску на мониторящемся устройстве). +SingleFile компилляция, которая в теории позволит запустить ваше приложение даже на неподготовленной системе (без среды CLR). Это с одной стороны делает "старшие" версии .NET как-бы даже более привлекательными для разработчиков оффенсив утиллит.
Но как бы то ни было, по прежнему существуют методы, которые позволят искать артефакты от переиспользуемых утиллит в памяти приложений. По прежнему существует как ETW, так и новый способ: пайп событий.
Статья очень интересная, спасибо. Остался один вопрос: что такое SOC? Я знаю только System On Chip, но это явно не оно.
Кстати да, в Информационной безопасности SOC - это Центр мониторинга информационной безопасности. Кто-то даже понимает/реализует шире (включая сюда специалисотв по реагированию и расследованию инцидентов) и вообще саму службу ИБ
Артефакты в CLR: как маскируют современные кибератаки и как SOC может их обнаружить