В этой статье моей целью будет быстро и понятно внести памятку о легитимных процессах Windows. Немного расскажу, какой процесс за что отвечает, какие нормальные свойства имеют процессы, и приправлю это все небольшим количеством краткой, но полезной информации.

Во время вашей смены в качестве аналитика второй линии SOC вы получаете информацию с первой линии относительно общедоступного сервера. Этот сервер был помечен как установивший подключения к нескольким подозрительным IP-адресам. В ответ вы запускаете стандартный протокол реагирования на инциденты, который создает изоляцию сервера от сети для предотвращения потенциального горизонтального перемещения или утечки данных и получение перехваченного пакета от утилиты NSM для анализа. Ваша задача — проанализировать PCAP и проверить наличие признаков вредоносной активности.

Это первый разбор, который мне когда-либо приходилось выкладывать!
Задание взято с тренировочной платформы CyberDefenders.

Служба безопасности организации обнаружила подозрительную сетевую активность. Предполагается, что в сети могут совершаться атаки, вызывающие отравление LLMNR (локальное разрешение многоадресных имен) и NBT-NS (служба имен NetBIOS). Известно, что эти атаки используют данные протоколы для перехвата сетевого трафика и потенциальной компрометации учетных данных пользователей.  Ваша задача — изучить сетевые журналы и захваченный сетевой трафик.