AV\EDR AV Crowd Strike

[Desconocido]

так при его сносе алерт админу прилетит, как и на сентинеле и любом другом едр. сентинель вообще может комп отрубить от сети при его сносе. в свое время сносил киллсвитчем от комодо, но нужен будет ребут тачки.

 

[Premium]

Если у кого-то есть решение с Crowd Strike при user правах напишите мне в пм.

раньше у риза было. когда была связка с 1дей лпе. сейчас свой чистый лпе нужен.

 

[Premium]

Вот допустим мы подняли права, решение только EDR Killer дальше юзать? или можно что-то граммотнее сделать? Есть возможность дампнуть LSASS из под Crowd Strike?

дальше либо грубо убиваем целиком с алертами и все в темпе вальса.
либо глушим без алертов киллером и только тогда дампим. сделать дамп при активном крауде не получится. он пасет все извесиные да и неизвестные техники.

 

[defaultuser0]

дальше либо грубо убиваем целиком с алертами и все в темпе вальса.
либо глушим без алертов киллером и только тогда дампим. сделать дамп при активном крауде не получится. он пасет все извесиные да и неизвестные техники.

Так без алертов не получится, ты в любом случаии оставишь лог отключения ав, если у орги есть крауд то и маномальский монниторинг настроен у них, а такие инцы всегда с повышенным приорететом

 

[Premium]

Так без алертов не получится, ты в любом случаии оставишь лог отключения ав, если у орги есть крауд то и маномальский монниторинг настроен у них, а такие инцы всегда с повышенным приорететом

глушим = он в памяти "работает", алертов нет.