Comments 5
После запуска mimikatz c Windows 10 улетает такое сообщение:
Дилетанский вопрос… А кто посылает это сообщение и куда?
Надо будет допилить mimikatz, чтобы использовал два хендла, или вообще запускать рой процессов с обменом в SHM ;)
война «красных» и «синих» никогда не кончится =)
Мой комментарий больше про то, что описанный в статье подход позволяет отлавливать "атаки" уровня script kiddie, но не замечает тривиальных вариаций. Тем более, не заметит чуть менее чем любую целевую атаку.
Соответственно, сбор логов в условный эластик — это конечно больше чем ничего, но для отлавливания более-менее серьезных атак нужен "настоящий" SIEM с "корреляцией" событий разнесенных по времени. Появление подобных продуктов в Open Source, к сожалению, по ряду причин не предвидится.
Sign up to leave a comment.
Продвинутое логирование Windows. Ищем mimikatz