Статья SOC - страшный сон хакера или как я работал в SOC'e

[bratva]

Я лично за то, чтобы вайты на форуме были, но "открытые" и адекватные, с уважением к форуму и камьюнити. Диалог с ними необходим (речь не о сливах, а о компромиссах). Мне интересно почитать об их методах, увидеть их работу, понять мышление. Вот что неинтересно - анонимы-вайты, тролли-вайты, вайты-интриганты и прочий цирк, от которого многие здесь сильно устали с 2021 года, а некоторые с 2018.

ТС продолжай в том же духе. Читаю твои посты с интересом. И форум заинтересован в таком контенте.

 

[defaultuser0]

Я лично за то, чтобы вайты на форуме были, но "открытые" и адекватные, с уважением к форуму и камьюнити. Диалог с ними необходим (речь не о сливах, а о компромиссах). Мне интересно почитать об их методах, увидеть их работу, понять мышление. Вот что неинтересно - анонимы-вайты, тролли-вайты, вайты-интриганты и прочий цирк, от которого многие здесь сильно устали с 2021 года, а некоторые с 2018.

ТС продолжай в том же духе. Читаю твои посты с интересом. И форум заинтересован в таком контенте.

Да я как раз это хотел написать, когда тебе нечего скрывать и нечего бояться очень легко писать такие статьи, зная что ты ничто не слил и никому не перешел дорогу!
Ребята получили хорошое чтиво, я получил копейку. Все счастливы!

 

[Whisper]

Да я как раз это хотел написать, когда тебе нечего скрывать и нечего бояться очень легко писать такие статьи, зная что ты ничто не слил и никому не перешел дорогу!
Ребята получили хорошое чтиво, я получил копейку. Все счастливы!

Согласен. Волноваться не о чем. Пиши еще.

 

[alex778]

А точнее, я не восхищаюсь такой инфой

Это редкая, ценная и актуальная информация, добытая честным трудом. Может ли таким способом агент спецслужб втираться в доверие? Без сомнения может. Что не делает саму инфу менее ценной.

- не люблю предателей.

Предатель - это тот, кто сначала даёт какие-то обещания, а потом их не выполняет. Например, даёт присягу на верность "Народу" и "Советской Родине" с большой буквы, а потом 30 лет работает завхозом по вывозу материальных ценностей с этой самой родины на запад и куратором по сокращению народонаселения. А ещё и активно работает над искажением реальности в свою пользу, когда люди начинают искать измену там, где её нет, но зато "не замечают" очевидного. В психологии это называется вытеснение.

 

[defaultuser0]

Дополнение в тред, сильно не смейтесь.

 

[H0unT]

Дополнение в тред, сильно не смейтесь.
Посмотреть вложение 74487

3 дня пить пиво

 

[defaultuser0]

Я запустил стрим на твиче, где в лайве настраиваю хонипот + siem.
Если кому то интересно:

ps: admin dal dobro

 

[alex778]

Я запустил стрим на твиче, где в лайве настраиваю хонипот + siem.

Насколько я прочитал, у тебя в статьях пока есть всё что угодно, кроме сути - как подшаманить логи под виндой, чтобы там что-то полезное из происходящего в винде начало откладываться. Чтобы winlogbeat было что сохранять. Эластик это ведь по сути просто поисковик общего назначения, его раньше к сайтам прикручивали просто для поиска, как и визуализатор, как и логохранилка - чему ты посвятил всю первую часть статьи. Но ведь весь цимес то в том, чтобы заставить винду в принципе логировать запуск файлов, появление новых экзешников на диске и т.п. "вкусные" вещи, которые по умолчанию выключены. Про это бы рассказал. Я пытался читать сырцы winlogbeat, но он зачем то написан на странном гугловском языке. Так что пока ниасилил.

 

[defaultuser0]

Насколько я прочитал, у тебя в статьях пока есть всё что угодно, кроме сути - как подшаманить логи под виндой, чтобы там что-то полезное из происходящего в винде начало откладываться. Чтобы winlogbeat было что сохранять. Эластик это ведь по сути просто поисковик общего назначения, его раньше к сайтам прикручивали просто для поиска, как и визуализатор, как и логохранилка - чему ты посвятил всю первую часть статьи. Но ведь весь цимес то в том, чтобы заставить винду в принципе логировать запуск файлов, появление новых экзешников на диске и т.п. "вкусные" вещи, которые по умолчанию выключены. Про это бы рассказал. Я пытался читать сырцы winlogbeat, но он зачем то написан на странном гугловском языке. Так что пока ниасилил.

Ну ты же понимаешь что я пишу статьи про сбор логов с хонипота, если тебе интересна винда и винлогбит возьми ее офф документацию и пробегись, ты можешь доставать из журналов все что хочешь любой чих системы. Другой вопрос как ты будешь из всего хлама детектить вредоносную активность. Я писал о хонипоте и пришел к закономерному результату, который можно спокойно заводить в прод, вопрос как ты его будешь использовать.

 

[Californium]

Если это какая то гос структура, велик шанс что будут привлекать ментов.

По опыту, что они могут вообще? Безрукие или не совсем?

Предатель - это тот, кто сначала даёт какие-то обещания, а потом их не выполняет. Например, даёт присягу на верность "Народу" и "Советской Родине" с большой буквы, а потом 30 лет работает завхозом по вывозу материальных ценностей с этой самой родины на запад и куратором по сокращению народонаселения. А ещё и активно работает над искажением реальности в свою пользу, когда люди начинают искать измену там, где её нет, но зато "не замечают" очевидного. В психологии это называется вытеснение.

Насколько понял, о чём ты, написано верно. Красава)

 

[defaultuser0]

По опыту, что они могут вообще? Безрукие или не совсем?

Я не работал в гос органах, но были знакомые люди с опытом работы там. Платят мало, явно уровень специалистов из той же лаборатории касперского намного выше. Они постоянно приглашают специалистов из вне(каспер, групиб) для своих дел.

 

[Hodl]

сразу видно, профессиональное внедрение специалиста в компанию))))

ахаха

 

[defaultuser0]

Дополнения треда интересным расследованием нашел коечто интересное =) Там чел в компании с оборотом 5+млн$ пакет оффиса и все тулзы ставит этим говном, моя любимая "флешка администратора"
Обожаю сисадминов..

 

[amerdead]

прочитал на одном вздохе, спасибо за статью

 

[Californium]

Я не работал в гос органах, но были знакомые люди с опытом работы там. Платят мало, явно уровень специалистов из той же лаборатории касперского намного выше. Они постоянно приглашают специалистов из вне(каспер, групиб) для своих дел.

Деньги есть на аутсорс, но не на зарплаты)

Дополнения треда интересным расследованием нашел коечто интересное =) Там чел в компании с оборотом 5+млн$ пакет оффиса и все тулзы ставит этим говном, моя любимая "флешка администратора"
Обожаю сисадминов..
Посмотреть вложение 74899

"Флшека"

 

[defaultuser0]

Деньги есть на аутсорс, но не на зарплаты)

ИБ только сжирает деньги в компаниях, никто не хочет платить команде специалистов 1-5млн Р в месяц за непонятно что. Нету результата или продукта, нету прибыли от нас. Но эта дебильная позиция только у тех, кого еще локбит не похуярил.

 

[user_47]

ИБ только сжирает деньги в компаниях, никто не хочет платить команде специалистов 1-5млн Р в месяц за непонятно что. Нету результата или продукта, нету прибыли от нас. Но эта дебильная позиция только у тех, кого еще локбит не похуярил.

Это как раз тот случай, "когда и хочется и колется"...

Есть знакомый, контору которых регулярно фишат и пробуют периметр всем чем можно. При этом за безопасностью следит только (!!!) админ.

На вайфае пароль из 8 цифр. И вся структура сети без сегментации с пингом серваков, на которых происходит основная деятельность компании.

При разгаворе с управленцем, ответственным за это всё барахло, оказалось, что он всё понимает. Но денег что то менять ЖАЛКО

 

[Gwuzciq]

Спасибо за статью. Очень интересно особенно сам процесс работы. С знаниями ИТ работать ночные смены это полный БДСМ.
Полиграф на самом деле 100% развод, поэтому почти в всех штатах США протокол полиграфа не является докозательством в суде. Идинственное применеие ему это внушение авторицетности и психологической нагрузки, так как большенство людей думают что его показатели могут выявить лжет кто то или нет (что совсем не так)

 

[defaultuser0]

Спасибо за статью. Очень интересно особенно сам процесс работы. С знаниями ИТ работать ночные смены это полный БДСМ.
Полиграф на самом деле 100% развод, поэтому почти в всех штатах США протокол полиграфа не является докозательством в суде. Идинственное применеие ему это внушение авторицетности и психологической нагрузки, так как большенство людей думают что его показатели могут выявить лжет кто то или нет (что совсем не так)

Да я думаю это нужно просто для галочки (т.к. у таких контор свои тараканы што вот пропихнут плохого хацкера и он все сольёт)

 

[ElektraEmber]

Спасибо, это отличный пост, который дает всю краткую информацию о внутренней работе SOC, если кто -нибудь хотел бы увидеть, каково это быть аналитиком SOC, посмотрите THM - https://tryhackme.com/ У них есть несколько бесплатных лабораторий где вы можете работать