В случае получения злоумышленником полного доступа к ОС, врят ли можно будет провести расследование основываясь на локальных логах системы. Обычно существует централизованная система сбора и анализа логов. В этом случае получаем все плюсы автоматизации. "Анализ поведения" через логи. Выявление на раннем этапе всех действий злоумышленников. И т.п. Надо понимать что локальные логи в windows это только кирпичик в построении системы безопасности.
В приусе буксировка разрешена производителем только на включенной машине. Надо включить электронную нейтраль и буксировать. С появлением приусов, многие кто полностью менял тормозную жидкость по старинке, сталкивались с потом с непонятными ошибками. Потому что там есть линейный клапан, который надо программно инициализировать.
Там электронасос и электроусилитель. А ещё не две магистрали, а четыре. На каждое колесо. Между тормозным диском в суппорте и главным тормозным цилиндром, электронный соленоид. Нажимая на тормоз, система до 40км/ч тормозит рекуперацией. Прямая связь отсутствует. Только опосредованная.
Автор. Это не флуд. Это ложно-положительное срабатывание.
При одинаковом битрейте видео потока, TCP будет создавать чуть больше трафика. А загрузка видео, будет происходить чуть медленнее.
"Еще раз спрошу: Вы пробовали это в продакшне делать в крупной или хотя бы средних размеров организации перед тем, как подобные советы давать?"
Я делал несколько скриптов. Несколько тысяч пользователей. Больше сотни географически распределенных DC. Парсинг журналов DC. Раз в час параллельно парсились все журналы. В фильтре можно указать с какого времени читать файл. По id записи убиралось дублирование. Завели отдельную ВМ для этого. Запись в ms sql. Потом переделал на elastic search. Помимо этого ещё много чего собиралось с журналов. И не только с журналов безопасности. Например журналы direct access, rds gateway. Плюс раз в день опрос всех машин на список ПО. Все максимально параллезировалось. Пока хватит свободной памяти. Только через posh и wmi. И ещё много ещё чего. Брат жив.
По сути, раньше было несколько исполнителей которые брали себе задачи из пула задач без приоритетов. Вы сделали параллелизацию выполнения задач, которые берутся из одной очереди с приоритетами.
Это канбан ?
Лучше на всех машинах включить winrm.
А также параллельно опрашивать машины.
Следить за исключениями в коде.
Не использовать get-wmiobject у него нет time out.
В случае получения злоумышленником полного доступа к ОС, врят ли можно будет провести расследование основываясь на локальных логах системы. Обычно существует централизованная система сбора и анализа логов. В этом случае получаем все плюсы автоматизации. "Анализ поведения" через логи. Выявление на раннем этапе всех действий злоумышленников. И т.п. Надо понимать что локальные логи в windows это только кирпичик в построении системы безопасности.
Postman можно вместо этого использовать?
В приусе буксировка разрешена производителем только на включенной машине. Надо включить электронную нейтраль и буксировать. С появлением приусов, многие кто полностью менял тормозную жидкость по старинке, сталкивались с потом с непонятными ошибками. Потому что там есть линейный клапан, который надо программно инициализировать.
Там электронасос и электроусилитель. А ещё не две магистрали, а четыре. На каждое колесо. Между тормозным диском в суппорте и главным тормозным цилиндром, электронный соленоид. Нажимая на тормоз, система до 40км/ч тормозит рекуперацией. Прямая связь отсутствует. Только опосредованная.
В приусе электронная педаль тормоза
Автор. Это не флуд. Это ложно-положительное срабатывание.
При одинаковом битрейте видео потока, TCP будет создавать чуть больше трафика. А загрузка видео, будет происходить чуть медленнее.
А если сделать лаг в одну секунду и предзагружать изображения? Получится вывод почти точно каждую секунду.
"Еще раз спрошу: Вы пробовали это в продакшне делать в крупной или хотя бы средних размеров организации перед тем, как подобные советы давать?"
Я делал несколько скриптов. Несколько тысяч пользователей. Больше сотни географически распределенных DC. Парсинг журналов DC. Раз в час параллельно парсились все журналы. В фильтре можно указать с какого времени читать файл. По id записи убиралось дублирование. Завели отдельную ВМ для этого. Запись в ms sql. Потом переделал на elastic search. Помимо этого ещё много чего собиралось с журналов. И не только с журналов безопасности. Например журналы direct access, rds gateway. Плюс раз в день опрос всех машин на список ПО. Все максимально параллезировалось. Пока хватит свободной памяти. Только через posh и wmi. И ещё много ещё чего. Брат жив.
По сути, раньше было несколько исполнителей которые брали себе задачи из пула задач без приоритетов. Вы сделали параллелизацию выполнения задач, которые берутся из одной очереди с приоритетами.
Это канбан ?
Но чтобы можно было провести переполнение буфера через gsm модуль, не очень верится.
String.EndsWith()
не?
Каждый сисадмин пишет свою систему мониторинга.
SQL like опросы можно юзать вот так
https://osquery.io
Статья похожа на реферат в школе.
Лучше на всех машинах включить winrm.
А также параллельно опрашивать машины.
Следить за исключениями в коде.
Не использовать get-wmiobject у него нет time out.
Я это делаю через wmi. Без явного доступа к
Судя по комменту habr.com/post/425993/#comment_19224683
«Доказывать свою точку зрения, я конечно это не буду»