Детектирование дампа памяти процесса LSASS. SOC наносит ответный удар

[snovvcrash]

Я в домике ?

[evros]

Ждём статьи по обход smb signing, ldap signing and bind, smb encrypt; disable netbios and mdns and llmnr ииииии RunAsPPL. Но только по честному, без сферический коней в вакууме)

Хоть это был и стëб, но на самом деле интересуют методики обхода и защиты (в рамках домена).

Спасибо!

[turbohard]

Хай комрадс! А почему бы не юзать 4663 (получен доступ) вместо 4656 (запрошен дескриптор)? Ведь 4656 регается даже когда дескриптор запрошен, но не использован (например, работа Outlook в фоне). И 4656 выдаёт в несколько раз больше событий, чем 4663. В среднем, за месяц в типовой ИТ-структуре у 4656 - 10к событий, а у 4663 - 2к событий. К тому же, UltimateSecurity ссылается, что Microsoft рекомендует юзать 4663.

[Gamoverr]

Хай комрад! Тут нет никакого "специального злого умысла", просто по какой-то причине я забыл добавить данный детект. Используем оба Event ID одновременно в работе. Зачастую в инфраструктурах нет одного из этих событий или вообще нет ни одного из них. Поэтому, Вы абсолютно правы, про 4663 забывать нельзя! И он действительно приоритетнее, если выбирать из двух.
По поводу количества событий, то лучше отфильтровать не нужное (например, в том же самом winlogbeat убрать outlook, adobe, доверенные директории и т.д.) и тогда особо большой разницы в объеме хранимых данных не будет.