B1is7aj May 24 at 11:54

Доверяй, но проверяй: история расследования инцидента на основе OSINT

5 min

6.2K

МТС corporate blogInformation Security*Research and forecasts in IT*

+10

Comments 8

ifap May 24 at 12:29

Поэтому, если вы сталкиваетесь с потенциально вредоносным файлом, отсутствие информации о нём в подобных базах и других открытых источниках не повод не беспокоиться.

По-моему, если по пути C:\Windows\System32\ обнаруживается файл, о котором нет никаких сведений в паблике, это уже повод забеспокоиться...

qw1 May 27 at 17:44

Для меня повод забеспокоиться - файл в директории \Windows\System32, без валидной цифровой подписи от Microsoft.

B1is7aj May 29 at 13:48

Верно. Но подозрительная длл могла быть обнаружена и не в системной директории, и вывод распространяется и на такие случаи.

MaxStirlits May 25 at 01:23

Список библиотек разрешённых внутри периметра карма не позволяет создать и вести?

B1is7aj May 29 at 13:44

Как вы представляете этот процесс со стороны внешнего SOC?)

MaxStirlits May 29 at 23:13

Задача более чем решаемая. Вопрос в подходе и нужности декларируемого результата. :)

B1is7aj May 31 at 11:00

SOC не может вносить изменения в инфраструктуру заказчика. Наша задача - мониторить то что по факту имеем, а рекомендации по безопасности не факт что будут приняты на практику.

Devastor87 May 25 at 07:36

Спасибо! Годный кейс ?