Как стать автором
Обновить

Комментарии 5

После запуска mimikatz c Windows 10 улетает такое сообщение:

Дилетанский вопрос… А кто посылает это сообщение и куда?
посылает служба winlogbeat, посылает к нам на сервер где расположен HELK

Надо будет допилить mimikatz, чтобы использовал два хендла, или вообще запускать рой процессов с обменом в SHM ;)

война «красных» и «синих» никогда не кончится =)

Мой комментарий больше про то, что описанный в статье подход позволяет отлавливать "атаки" уровня script kiddie, но не замечает тривиальных вариаций. Тем более, не заметит чуть менее чем любую целевую атаку.


Соответственно, сбор логов в условный эластик — это конечно больше чем ничего, но для отлавливания более-менее серьезных атак нужен "настоящий" SIEM с "корреляцией" событий разнесенных по времени. Появление подобных продуктов в Open Source, к сожалению, по ряду причин не предвидится.

Зарегистрируйтесь на Хабре , чтобы оставить комментарий